¿Se cifran los datos POST a través de una conexión SSL?

13

He configurado mi servidor web para usar SSL (estoy usando WAMP para mi escenario de preparación antes de moverlo a servidores públicos). El propósito del sitio en cuestión ha tenido éxito y puedo usar el sitio desde computadoras remotas usando el protocolo HTTPS.

Una preocupación que surgió con uno de mis usuarios (probadores) fue con respecto a los datos POST. En su escenario de prueba, está en el sitio de uno de nuestros clientes potenciales, accediendo al sitio detrás de su firewall corporativo MUY exigente (ya hemos resuelto cómo este sitio se aplica a su AUP, y estamos limpios). Está ejecutando el sitio en Firefox usando Firebug para monitorear los datos POST y GET. La pregunta está aquí:

En su ventana de Firebug, la POST y la Respuesta de XMLHTTPRequest vuelven en texto plano. ¿Es porque fue él quien inició la conexión segura? ¿Los datos POST / Response se mostrarán a los administradores o registros de la red?

Tenga en cuenta que la intención aquí no es engañar a los administradores o eludir las políticas; Esta es una aplicación destinada a personas en el sitio en varios lugares que necesitan transmitir datos confidenciales. El uso se coordinará con cada infraestructura de red que encontremos.

ssl  https  encryption 
Honus Wagner
fuente
incluso la url y la cadena de consulta están encriptadas
Neil McGuigan
Como una prueba simple y el uso adecuado de las herramientas de rastreo, use tshark / WireShark para filtrar en base a http.request.uri y verá que cuando trabaja con https no hay nada que mostrar. Por otro lado, envíe la misma solicitud a través de http y verá todo.
Maziyar

Respuestas:

20

Sí, los datos POST deben estar encriptados. Todo en la solicitud HTTP debe encriptarse en una conversación SSL. Firebug obtiene su información después de que el navegador haya descifrado los datos SSL. Si quieres asegurarte, usa algo como Fiddler o WebScarab como un proxy intermedio, aunque es posible que tengas que jugar juegos para que jueguen bien con SSL. Aquí hay una página sobre cómo descifrar el tráfico HTTPS usando Fiddler.

squillman
fuente
3
Si duda del cifrado, arroje Wireshark al cliente y huela el tráfico.
Evan Anderson el
Verifiqué Fiddler y comparé los POSTS y GETS entre los datos HTTPS y HTTP y confirmó que los POSTS y GETS son seguros. ¡Gracias!
Honus Wagner el
@Evan ¿Qué debería estar buscando en Wireshark?
Honus Wagner
3
@Honus: Estás buscando basura :). Si los datos no están encriptados, podrá verlos en Wireshark. Si está cifrado, verá los datos cifrados (no legibles).
Soleado
1
@Honus: Wireshark es un analizador de paquetes, por lo que puede mostrarle todos los paquetes que están llegando a través del cable. Tiene la capacidad de ver todo el tráfico de red, independientemente de los protocolos de nivel de aplicación. Hay filtros (incluido uno para HTTP) que le permiten limitar las cosas para ver más fácilmente lo que está buscando.
Squillman
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.