it-swarm-vi.com

Các URL đầy đủ được hiển thị như thế nào khi chúng được mã hóa bởi HTTPS?

Theo tôi biết, URL HTTPS được mã hóa (sửa tôi nếu tôi sai). Gần đây có một rò rỉ dữ liệu và trong một bài viết về rò rỉ Tôi thấy bức ảnh này:

Enter image description here

Nếu URL HTTPS được mã hóa thì ISP đã ghi nhật ký URL đầy đủ như thế nào (thông báo "fw-url" )?

26
Alexander

Bài báo nói rằng:

một kết nối được phát hiện đến một ứng dụng bộ lọc web được xây dựng bởi Conor [Giải pháp]

Cho rằng đó là bộ lọc web và được cho là có thể đăng nhập URL, chúng tôi có thể suy luận rằng đây là proxy Man-in-the-Middle (MITM) đã giải mã các yêu cầu, được lọc dựa trên yêu cầu không được mã hóa, và sau đó mã hóa lại và chuyển tiếp yêu cầu đến đích thực tế. Và thật không may, nó đã ghi lại những yêu cầu này và nhật ký đó đã bị xâm phạm, do đó bị rò rỉ.

Loại MITM này sẽ yêu cầu chứng chỉ CA được cài đặt trên máy khách để proxy có thể xuất trình chứng chỉ cho mỗi trang web được truy cập. Có lẽ Conor Solutions đã có một số cách để đưa ra sự thay đổi này cho khách hàng; có lẽ đã có "phần mềm lọc" cho khách hàng chọn lọc web dưới dạng gói.

60
gowenfawr

Dưới đây là một ảnh chụp màn hình của một tìm kiếm hình ảnh tại thời điểm thảo luận này. Hình ảnh nguồn từ OP được tham chiếu trong nhiều trang web và dường như là chủ đề thảo luận do nội dung hình ảnh.

Hình ảnh ban đầu dường như là từ một bài đăng trên blog của vpnMentor: https://www.vpnmentor.com/blog/report-conor-leak/

Perform an image search

Nhìn qua https://crt.sh/?q=xideo.com , dường như không có bất kỳ chính phủ nào đã cấp chứng chỉ cho xideo.com.

Xem xét nguồn nhật ký JSON (xem hình ảnh cho vị trí nhật ký), mặc dù đã được xử lý lại, đặt cược của tôi là một plugin/tiện ích mở rộng tác nhân người dùng ghi nhật ký tất cả hoạt động. Ví dụ: một giải pháp kiểm soát/tiếp thị của phụ huynh. (Tại sao lại có yếu tố dữ liệu "_score"?!?)

Một proxy phá vỡ/kiểm tra tinh vi ít có khả năng, do báo cáo ban đầu từ vpnMentor cho thấy TLS không được sử dụng để bảo vệ "cơ sở dữ liệu" thông tin người dùng. Một proxy MITM (phá vỡ/kiểm tra) sẽ được quan sát thông qua tác nhân người dùng (trình duyệt) và việc vệ sinh giải pháp kém có thể sẽ dẫn đến việc người dùng phát hiện rộng rãi.

Các URL tương đối không được chỉ định trong tra cứu DNS hoặc TLS SNI, bất kể mã hóa.

4
Todd Johnson