HTTPS vollständig verschlüsselt?
-
Der Professor meinte, HTTPS sei nur teilweise sicher, da nur die Nutzdaten verschlüsselt werden, die Request-Header jedoch nicht.
Das widerspricht aber meinem bisherigen Verständnis und auch auf Wikipedia kann ich nichts finden, das diese Variante unterstützt.
Wie sieht es wirklich mit der Sicherheit aus?
-
HTTPS ist vollständig verschlüsselt.
Das geht schon daraus hervor, dass HTPPS nur ein SSL/TLS Wrapper um HTTP ist.
-
Die HTTP Headers sind verschlüsselt. Was unter HTTPS manchmal unverschlüsselt bleiben kann, ist der Hostname.
-
hedda schrieb:
Die HTTP Headers sind verschlüsselt. Was unter HTTPS manchmal unverschlüsselt bleiben kann, ist der Hostname.
Meinst du damit die vorhergehende DNS-Auflösung des Hostnamens?
-
Der hostname wird manchmal über SNI exposed.