Bisakah Pihak Ketiga Membaca URL Lengkap Saat Menjelajah melalui HTTPS?
Saat Anda mengunjungi situs web dengan aman melalui https: // data yang dikirim antara server dan browser Anda dienkripsi, tetapi bagaimana dengan URL yang Anda kunjungi di dalam situs? Dapatkah ISP Anda atau pengamat pihak ketiga lainnya melihat apa yang Anda lihat?
Sesi Tanya Jawab hari ini datang kepada kami berkat SuperUser-subdivisi Stack Exchange, pengelompokan situs web Q&A berbasis komunitas.
Pertanyaan
Pembaca SuperUser anonim ingin tahu apakah sesi penjelajahan mereka sepenuhnya aman:
Kita semua tahu bahwa HTTPS mengenkripsi koneksi antara komputer dan server sehingga tidak dapat dilihat oleh pihak ketiga. Namun, dapatkah ISP atau pihak ketiga melihat tautan persis halaman yang diakses pengguna?
Misalnya, saya mengunjungi:
https://www.website.com/data/abc.html
Akankah ISP tahu bahwa saya mengakses * / data / abc.html atau hanya tahu bahwa saya mengunjungi IP www.website.com?
Jika mereka tahu, lalu mengapa Wikipedia dan Google memiliki HTTPS ketika seseorang dapat membaca log internet dan mencari tahu konten yang tepat yang dilihat pengguna?
Sebuah pertanyaan menarik yang tentu saja berimplikasi pada privasi pribadi. Mari selidiki.
Jawabannya
Kontributor SuperUser, Grawity, menawarkan ikhtisar yang sangat singkat tentang bagaimana URL lengkap diproses sepanjang jalan:
Dari kiri ke kanan:
Itu skema
https:
jelas ditafsirkan oleh browser.Itu nama domain
www.website.com
diselesaikan ke alamat IP menggunakan DNS. ISP Anda akan lihat permintaan DNS untuk domain ini, dan responsnya.Itu jalan
/data/abc.html
dikirim dalam permintaan HTTP. Jika Anda menggunakan HTTPS, itu akan dienkripsi bersama dengan seluruh permintaan dan respons HTTP.Itu string kueri
?ini = itu
, jika ada di URL, dikirim dalam permintaan HTTP - bersama dengan path. Jadi itu juga terenkripsi.Itu pecahan
#sana
, jika ada, tidak dikirim ke mana pun - ditafsirkan oleh browser (terkadang oleh JavaScript di halaman yang dikembalikan).
Singkatnya, segala sesuatu di sebelah kanan nama domain dienkripsi oleh sesi HTTPS dan tetap tidak terlihat oleh ISP Anda atau siapa pun yang mengintip aktivitas Anda..
Punya sesuatu untuk ditambahkan ke penjelasan? Berbunyi dalam komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang mengerti teknologi lainnya? Lihat utas diskusi lengkap di sini.