从SSL连接泄漏了多少数据?

HTTP Secure

保护级别取决于Web浏览器和服务器软件实现的正确性以及支持的实际加密算法。

此外,如果将HTTPS应用于公共可用的静态内容,则会受到攻击。可以使用Web爬虫为整个站点建立索引,通过只知道截获的请求/响应大小,可以推断加密资源的URI。这允许攻击者访问明文(公共可用的静态内容)和加密文本(静态内容的加密版本),从而允许加密攻击。

由于SSL在HTTP下运行,并且不了解更高级别的协议,因此SSL服务器只能为特定的IP/端口组合严格地提供一个证书。这意味着,在大多数情况下,将基于名称的虚拟主机与HTTPS结合使用是不可行的。存在一个名为服务器名称指示(sni)的解决方案,它在加密连接之前将主机名发送到服务器,尽管许多旧的浏览器不支持此扩展。Windows Vista上的Firefox 2、Opera 8和Internet Explorer 7支持SNI。

一般来说,您正在通话的服务器的名称是泄露的(“stackoverflow.com”)。不过,这可能是在SSL/TLS开始连接之前通过DNS泄漏的。

服务器的证书泄漏。您发送的任何客户机证书(不是通用配置)可能已被清除发送,也可能未被清除发送。一个活跃的攻击者(中间的人)可能只需要向你的浏览器请求并接收它。

URL的路径部分(“/questions/2146863/多少数据从SSL连接泄漏”)不应泄漏。它是加密和安全的(假设客户机和服务器设置正确,并且没有单击任何证书错误)。

另一张海报是正确的,可能有流量分析攻击,可以推断出一些关于静态内容的事情。如果这个站点非常大并且是动态的(比如stackoverflow.com),我怀疑从中获取很多有用的信息是非常困难的。但是,如果只有几个文件具有不同的大小,那么下载可能是显而易见的。

表单发布数据不应泄漏。尽管通常的警告适用于传输已知大小的对象。

定时攻击可能会泄露一些信息。例如,攻击者可能会对应用程序的各个部分(例如某个数据库表)施加压力,或者从磁盘预加载一些静态文件,并观察连接速度如何减慢或响应速度如何加快。

这是一个信息“泄露”,但对大多数网站来说可能不是什么大问题。

您的浏览器请求 https://url:443 很明显。然后服务器和客户机将协商一个密码套件来保护数据。通常,这将包括对称加密算法(如3DES或RC4或AES)和检测篡改的消息身份验证代码(如HMAC-SHA1)。注意,从技术上讲,这两个都是可选的,它 是 可能有没有加密的SSL,但现在不太可能。

一旦客户机(浏览器)和Web服务器同意使用密码套件,并且确定了密钥,会话的其余部分就受到保护。

老实说,我会挂上一个协议分析器,看着它在你眼前展开!!

记住,SSL位于TCP/IP堆栈的传输层,它位于浏览器数据的下面,所以它是受保护的。

希望有帮助。