Новый ответ старый вопрос, извините. Я думал, что добавлю свои $ .02
ОП спросил, были ли заголовки зашифрованы.
Это: в пути.
Они НЕ: когда они не в пути.
Таким образом, URL вашего браузера (и название в некоторых случаях) может отображать запрос (который обычно содержит наиболее важные данные) и некоторые детали в заголовке; браузер знает некоторую информацию заголовка (тип контента, юникод и т. д.); история браузера, управление паролями, избранное/закладки и кешированные страницы будут содержать запрос. Журналы сервера на удаленном конце также могут содержать последовательность запросов, а также некоторые детали содержимого.
Также URL-адрес не всегда безопасен: домен, протокол и порт видны - в противном случае маршрутизаторы не знают, куда отправлять ваши запросы.
Кроме того, если у вас есть прокси-сервер HTTP, прокси-сервер знает адрес, обычно они не знают полного запроса.
Так что, если данные движутся, они, как правило, защищены. Если он не находится в пути, он не зашифрован.
Не забудьте выбрать, но данные в конце также дешифрованы и могут быть проанализированы, прочитаны, сохранены, переадресованы или отброшены по желанию. И вредоносная программа с обоих концов может принимать моментальные снимки данных, входящих (или выходящих) из протокола SSL, например (плохой) Javascript внутри страницы внутри HTTPS, которая может тайно совершать вызовы http (или https) для ведения журналов веб-сайтов (поскольку доступ к локальному жесткому диску часто ограничено и не полезно).
Кроме того, файлы cookie также не шифруются в соответствии с протоколом HTTPS. Разработчики, желающие хранить конфиденциальные данные в файлах cookie (или где-либо еще в этом случае), должны использовать собственный механизм шифрования.
Что касается кеша, то большинство современных браузеров не будут кэшировать HTTPS-страницы, но этот факт не определяется протоколом HTTPS, он полностью зависит от разработчика браузера, чтобы не кэшировать страницы, полученные через HTTPS.
Так что если вы беспокоитесь об обнюхивании пакетов, вы, вероятно, все в порядке. Но если вы беспокоитесь о вредоносном ПО или о том, что кто-то просунул свою историю, закладки, куки или кеш, вы еще не вышли из воды.
HTTP-заголовки по HTTPS зашифрованы, а также не HTTP-сжаты (даже если тело есть). Это делает их менее уязвимыми для атак, связанных с сжатием, таких как BEAST – 2015-03-18 18:11:28