Dovresti presumere che l'URL non sia protetto, ovvero che un intercettatore passivo possa essere in grado di apprendere quale URL stai visitando.
Mi rendo conto che ciò contraddice quanto affermato da altre persone, quindi io è meglio spiegare.
È vero che tutto ciò che segue il nome di dominio viene inviato crittografato. Ad esempio, se l'URL è https://www.example.com/foo/bar.html
, l'attaccante sarà visibile a www.example.com
, mentre la richiesta HTTP ( GET /foo/bar.html HTTP / 1.0
) è crittografata. Ciò impedisce a un intercettatore di vedere direttamente la parte del percorso dell'URL. Tuttavia, la lunghezza della parte del percorso dell'URL potrebbe essere visibile agli intercettatori. Inoltre, altre informazioni, come la lunghezza della pagina visitata, potrebbero essere visibili agli intercettatori. Questo è un piede nella porta per l'attaccante. Sono state effettuate alcune ricerche che utilizzano questo piede nella porta per scoprire quali URL stai visitando, se l'autore dell'attacco può intercettare il tuo traffico https.
Sebbene non sia garantito che questi attacchi avranno successo, suggerisco che sarebbe prudente presumere il peggio: presumere che un intercettatore possa essere in grado di apprendere quali URL stai visitando. Pertanto, non dovresti presumere che SSL / TLS nasconda a un intercettatore quali pagine stai visitando.
Sì, https fornisce integrità per l'URL che hai visitato.
PS Un'altra avvertenza: in pratica, sslstrip e altri attacchi man-in-the-middle possono avere successo contro molti o la maggior parte degli utenti, se il sito web non utilizza HSTS. Questi attacchi possono violare sia la riservatezza che l'integrità dell'URL. Pertanto, se gli utenti visitano siti Web che non utilizzano HSTS su una rete non sicura (ad esempio, Wifi aperto), dovresti essere cauto che un utente malintenzionato potrebbe essere in grado di apprendere quali pagine gli utenti stanno visitando. Una mitigazione parziale contro la minaccia sslstrip è che gli utenti utilizzino HTTPS Everywhere e che i siti adottino HSTS.