it-swarm.com.de

Wie werden vollständige URLs angezeigt, wenn sie mit HTTPS verschlüsselt werden?

Soweit ich weiß, werden HTTPS-URLs verschlüsselt (korrigieren Sie mich, wenn ich falsch liege). Vor kurzem gab es ein Datenleck und in ein Artikel über das Leck Ich habe dieses Bild gesehen:

(Enter image description here

Wenn HTTPS-URLs verschlüsselt sind, wie hat der ISP dann die vollständige URL protokolliert (Hinweis "fw-url" )?

26
Alexander

Der Artikel besagt, dass:

es wurde eine Verbindung zu einer von Conor [Solutions] erstellten Webfilter-App festgestellt.

Da es sich um einen Webfilter handelte und URLs protokollieren konnten, können wir daraus schließen, dass es sich um einen MITM-Proxy (Man-in-the-Middle) handelte, der die Anforderungen entschlüsselt, basierend auf der unverschlüsselten Anforderung gefiltert und dann Die Anforderung wurde erneut verschlüsselt und an das eigentliche Ziel weitergeleitet. Und leider hat es diese Anfragen protokolliert, und dieses Protokoll wurde kompromittiert, daher das Leck.

Für diese Art von MITM muss ein CA-Zertifikat auf dem Client installiert sein, damit der Proxy Zertifikate für jede besuchte Website vorlegen kann. Vermutlich hatte Conor Solutions eine Möglichkeit, diese Änderung an die Kunden weiterzugeben. Vielleicht gab es eine "Filtersoftware" für Kunden, die sich für die Webfilterung als Paket entschieden hatten.

60
gowenfawr

Unten sehen Sie einen Screenshot einer Bildsuche zum Zeitpunkt dieser Diskussion. Das Quellbild aus dem OP wird auf zahlreichen Websites referenziert und scheint aufgrund des Bildinhalts Gegenstand von Diskussionen zu sein.

Das Originalbild scheint aus einem vpnMentor-Blogbeitrag zu stammen: https://www.vpnmentor.com/blog/report-conor-leak/

Perform an image search

Auf der Suche nach https://crt.sh/?q=xvideos.com scheint es jedoch nicht so zu sein, dass eine Regierung ein Zertifikat an xvideos.com ausgestellt hat.

In Anbetracht der JSON-Protokollquelle (siehe Bild für den Speicherort des Protokolls) ist meine Wette, obwohl redigiert, ein Benutzeragenten-Plugin/eine Erweiterung, die alle Aktivitäten protokolliert. Zum Beispiel eine Kindersicherungs-/Marketinglösung. (Warum sollte es ein Datenelement "_score" geben?!?)

Ein ausgefeilter Break/Inspect-Proxy ist weniger wahrscheinlich, da der ursprüngliche Bericht von vpnMentor angibt, dass TLS nicht zum Schutz der "Datenbank" mit Benutzerinformationen verwendet wurde. Ein MITM-Proxy (break/inspect) würde über den Benutzeragenten (Browser) beobachtet, und eine schlechte Hygiene der Lösung würde wahrscheinlich zu einer weit verbreiteten Erkennung durch die Benutzer führen.

Relative URLs werden in DNS-Lookups oder TLS-SNI unabhängig von der Verschlüsselung nicht angezeigt.

4
Todd Johnson