攻撃者はHTTPSを介してURLのデータを傍受できますか?
接続がHTTPS経由で行われる場合、URLに含まれるデータは安全であると見なすことができますか?たとえば、ユーザーが電子メールの https://mysite.com?mysecretstring=1234 を指すリンクをクリックすると、攻撃者がURLから「mysecretstring」を取得する可能性はありますか?
URLを含め、HTTPリクエスト(およびレスポンス)全体が暗号化されます。
しかし、はい、攻撃者が完全なURLを取得する方法があります。Refererヘッダーを介してです。 HTTPS経由ではない外部ファイル(Javscript、CSSなど)がある場合、完全なURLがリファラーヘッダーで盗聴される可能性があります。ユーザーがHTTP(SSLなし)ページにつながるページのリンクをクリックした場合も同じです。
また、DNS要求は暗号化されないため、攻撃者はユーザーがmysite.comにアクセスしていることを知ることができます。
いいえ、接続は確認できます。つまり、mysite.comは表示されますが、?mysecretstring = 1234 httpsはサーバー間では表示されません
暗号化キーが必要です。理論的にはこれは不可能ですが、どんな良い攻撃も可能です。これは、サーバーとの間で送受信されるすべてのデータを暗号化して盗聴できないようにするSSLの目的です。
あなたのウェブログを安全に保つか、それらを書くことさえしないでください。ログを読み取ることができるリモートエクスプロイトを取得すると、URLデータがログに表示されます。