Lorsque vous visitez un site Web en toute sécurité via https: // les données envoyées entre le serveur et votre navigateur sont cryptées, mais qu’en est-il des URL que vous visitez sur le site? Votre FAI ou un autre observateur tiers peut-il voir ce que vous regardez?

La séance de questions-réponses d’aujourd’hui nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web de questions-réponses.

La question

Un lecteur anonyme SuperUser veut savoir si leurs sessions de navigation sont totalement sécurisées:

Nous savons tous que HTTPS crypte la connexion entre l’ordinateur et le serveur afin qu’elle ne puisse pas être consultée par un tiers. Cependant, le FAI ou un tiers peut-il voir le lien exact de la page à laquelle l’utilisateur a accédé?

Par exemple, je visite:

https://www.website.com/data/abc.html

Le FAI saura-t-il que j’ai accédé à * / data / abc.html ou savoir simplement que j’ai visité l’adresse IP de www.website.com?

S’ils le savent, pourquoi Wikipédia et Google ont-ils le HTTPS alors que quelqu’un peut simplement lire les journaux Internet et découvrir le contenu exact que l’utilisateur a vu?

Une question intéressante qui a certainement des implications pour la vie privée. Étudions.

La réponse

Le contributeur de SuperUser Grawity offre un aperçu très concis du traitement de l’URL complète:

De gauche à droite:

le schéma https: est, bien entendu, interprété par le navigateur.

le nom de domaine www.website.com est résolu en une adresse IP utilisant DNS. Votre FAI verra la demande DNS pour ce domaine et la réponse.

le chemin /data/abc.html est envoyé dans la requête HTTP. Si vous utilisez HTTPS, il sera crypté avec le reste de la demande et de la réponse HTTP.

le chaîne de requête ?this=that, s’il est présent dans l’URL, est envoyé dans la demande HTTP – avec le chemin d’accès. Il est donc également crypté.

le fragment #there, s’il est présent, n’est envoyé nulle part – il est interprété par le navigateur (parfois par JavaScript sur la page renvoyée).

En bref, tout ce qui se trouve à droite du nom de domaine est crypté par la session HTTPS et reste invisible pour votre FAI ou toute autre personne furtivement dans vos activités.


Vous avez quelque chose à ajouter à l’explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d’autres utilisateurs de Stack Exchange avertis en technologie? Consultez le fil de discussion complet ici.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici