Как предотвратить SSL-запросы от утечки информации?

Question

Я использовал поиск по Google SSL (https: www.google.com) с ожиданием того, что мой поиск будет закрыт. Тем не менее, мой поиск по «тостеры» подготовил запрос: https://encrypted.google.com/search?hl=en&source=hp&q=toasters&aq=f

Как вы можете видеть, мой работодатель все равно может зарегистрировать это и посмотреть, что искали. Как я могу убедиться, что, когда кто-то ищет на моем сайте с использованием SSL (используя пользовательский поиск в Google), их условия поиска не становятся видимыми.

Answer 1

URL-адрес отправляется через SSL. Конечно, пользователь может видеть URL-адрес в своем браузере, но он не отображается, когда он переходит через сеть. Ваш работодатель не может зарегистрировать его, если он не является другим концом SSL-соединения. Если ваш работодатель создает сертификат CA и устанавливает его в своем браузере, он может использовать прокси-сервер для подмены имен хостов Google, но в остальном трафик безопасен.

Answer 2

HTTPS защищает весь HTTP-обмен, включая URL-адрес, поэтому единственное, что может перехватить сетевой трафик, - это связь между браузером и вашим сайтом (или Google в этом случае). Даже без внутренней информации эта информация может быть полезна.

Если у вас нет полного административного контроля над системами, в которых выполняются запросы, вы должны предположить, что все, что происходит на них, может быть перехвачено или зарегистрировано. Браузеры обычно хранят историю и кеш-страницы в файлах на локальном диске, которые могут быть прочитаны администраторами. Вы также не можете проверить, что сам браузер не был перекомпилирован с кодом для регистрации посещаемых сайтов, даже в «приватном» режиме.

Answer 3

Чтобы добавить к тому, что сказал @erickson, читайте this. SSL защитит данные между связанными сторонами. Если вам нужно скрыть эту ссылку от босса, отключите кеширование браузеров посещенных сайтов, то есть отключите или удалите данные истории.

Answer 4

Предположительно ваш работодатель предоставляет вам с ПК, программным обеспечением на нем, подключение локальной сети к своей собственной корпоративной сети, интернет-прокси и корпоративный брандмауэр, возможно, DNS-сервера, и т.д. и т.п.

Так вы подвержены обнюхивание трафика и отслеживание на разных уровнях. Даже если вы просматриваете URL-адрес через SSL TLS, вы должны предположить, что содержимое вашего сеанса http может быть записано. Вы всегда проверяете, что сертификат в вашем браузере находится из Google, а не с прокси-сервера вашего работодателя? Вы знаете, что программное обеспечение находится между вашим браузером и вашей сетевой карты и т.д.

Однако, если у вас полный контроль над клиентом, то вы можете быть уверены, что ни один внешний для вашего HTTPS разговор с Google будет уметь видеть URL-адрес, который вы запрашиваете.

Google все еще знает, что вы до, но это личное дело между поисковой системой и вашей совести)