Os dados do POST são criptografados em uma conexão SSL?

13

Configurei meu servidor Web para usar SSL (estou usando o WAMP no meu cenário de preparação antes de movê-lo para servidores públicos). O objetivo do site em questão foi bem-sucedido e eu posso usá-lo em computadores remotos usando o protocolo HTTPS.

Uma preocupação que surgiu com um dos meus usuários (testadores) foi em relação aos dados do POST. Em seu cenário de teste, ele está no local em um de nossos clientes em potencial, acessando o site por trás do firewall corporativo MUITO exigente (já descobrimos como esse site se aplica à sua AUP e estamos limpos). Ele está executando o site no FireFox usando o Firebug para monitorar os dados POST e GET. A questão está aqui:

Na janela do Firebug, o POST e a resposta do XMLHTTPRequest estão retornando em texto sem formatação. Isso é porque ele foi quem iniciou a conexão segura? Os dados do POST / Response aparecerão para os administradores ou logs da rede?

Observe que a intenção aqui não é enganar administradores ou burlar políticas; este é um aplicativo destinado a pessoas no local em vários locais que precisam transmitir dados confidenciais. O uso será coordenado com todas as infra-estruturas de rede que encontrarmos.

Honus Wagner
fonte
até mesmo o url e querystring são criptografados
Neil McGuigan
Como um teste simples e o uso adequado de ferramentas de sniffing, use o tshark / WireShark para filtrar com base em http.request.uri e, quando você trabalha com https, não há nada para exibir. Por outro lado, envie a mesma solicitação por http e você verá tudo.
Maziyar

Respostas:

20

Sim, os dados do POST devem ser criptografados. Tudo na solicitação HTTP deve ser criptografado em uma conversa SSL. O Firebug obtém suas informações depois que os dados SSL foram descriptografados pelo navegador. Se você quiser garantir, use algo como o Fiddler ou o WebScarab como um proxy intermediário, embora possa ser necessário jogar jogos para que eles joguem bem com SSL. Aqui está uma página sobre como descriptografar o tráfego HTTPS usando o Fiddler.

squillman
fonte
3
Se você está duvidando da criptografia, jogue o Wireshark no cliente e cheire o tráfego.
Evan Anderson
Eu verifiquei o Fiddler e comparei os POSTS e GETS entre os dados HTTPS e HTTP e confirmei que os POSTS e GETS são seguros. Obrigado!
Honus Wagner
@Evan O que devo procurar no Wireshark?
Agradeço o seu contato
3
@Honus: Você está procurando lixo :). Se os dados não estiverem criptografados, você poderá vê-los no Wireshark. Se estiver criptografado - você verá os dados criptografados (não legíveis).
ensolarada
1
@Honus: O Wireshark é um analisador de pacotes para que você possa / mostre todos os pacotes que estão passando pelo fio. Você pode ver todo o tráfego de rede, independentemente dos protocolos no nível do aplicativo. Existem filtros (incluindo um para HTTP) que permitem restringir as coisas para ver mais facilmente o que você está procurando.
squillman