it-swarm-id.com

Bagaimana URL lengkap terpapar ketika dienkripsi oleh HTTPS?

Sejauh yang saya tahu, URL HTTPS dienkripsi (koreksi saya jika saya salah). Ada kebocoran data baru-baru ini dan di satu artikel tentang kebocoran Saya melihat gambar ini:

Enter image description here

Jika HTTPS URL dienkripsi, lalu bagaimana ISP mencatat URL lengkap (perhatikan "fw-url" )?

26
Alexander

Artikel tersebut menyatakan bahwa:

koneksi ditemukan ke aplikasi filter web yang dibangun oleh Conor [Solusi]

Mengingat bahwa itu adalah filter web, dan mengingat ia mampu mencatat URL, kita dapat menyimpulkan bahwa ini adalah proksi Man-in-the-Middle (MITM) yang mendekripsi permintaan, difilter berdasarkan permintaan yang tidak dienkripsi, dan kemudian mengenkripsi ulang dan meneruskan permintaan ke tujuan yang sebenarnya. Dan sayangnya, itu mencatat permintaan ini, dan log itu dikompromikan, sehingga bocor.

MITM semacam ini membutuhkan sertifikat CA diinstal pada klien sehingga proxy dapat menyajikan sertifikat untuk setiap situs web yang dikunjungi. Agaknya Conor Solutions memiliki beberapa cara untuk meluncurkan perubahan ini kepada pelanggan; mungkin ada "perangkat lunak pemfilteran" untuk pelanggan yang memilih untuk memiliki pemfilteran web sebagai sebuah paket.

60
gowenfawr

Di bawah ini adalah tangkapan layar dari pencarian gambar pada saat diskusi ini. Gambar sumber dari OP direferensikan di banyak situs web, dan tampaknya menjadi bahan diskusi karena konten gambar.

Gambar asli tampaknya berasal dari posting blog vpnMentor: https://www.vpnmentor.com/blog/report-conor-leak/

Perform an image search

Melihat --- https://crt.sh/?q=xvideos.com , tampaknya tidak ada pemerintah yang mengeluarkan sertifikat ke xvideos.com.

Mempertimbangkan sumber log JSON (lihat gambar untuk lokasi log), meskipun dihapus, taruhan saya adalah plugin agen pengguna/ekstensi yang mencatat semua aktivitas. E.g., solusi kontrol/pemasaran orang tua. (Mengapa akan ada elemen data "_score"?!?)

Proksi break/inspect yang canggih kurang mungkin, karena pelaporan asli dari vpnMentor yang menunjukkan TLS tidak digunakan untuk melindungi "basis data" info pengguna. Proksi MITM (break/inspect) akan diamati melalui agen pengguna (browser), dan kebersihan yang buruk dari solusi kemungkinan akan menghasilkan deteksi luas oleh pengguna.

URL relatif tidak ditunjukkan dalam pencarian DNS, atau TLS SNI, terlepas dari enkripsi.

4
Todd Johnson