Я думал о https, и мне было интересно. Насколько защищено? Зашифрован ли весь запрос? Я подозреваю, что это не так, потому что как сервер узнает, к какому домену подключиться? Шифруется только тело? если я прошу http://joes-site.com/abc/file.ext могут ли люди увидеть файл, который я запрашиваю?
Я предполагаю, что почтовые данные зашифрованы с помощью https, файлы cookie? Что именно не зашифровано?
Весь сеанс зашифрован, включая полный запрос и заголовки, такие как файлы cookie. До указания имени сервера (RFC4366, раздел 3.1), это сделало невозможным выбор, на какой виртуальный хост отправить запрос с помощью HTTPS, поэтому серверы, использующие HTTPS, должны были выделить IP-адрес для каждого домена / виртуального хоста. Единственное, что мог видеть наблюдатель, - это информация о протоколе инкапсуляции (к / от IP-адресов, портов и т. Д.).
С SNI vhost передается во время согласования TLS. В этот момент будет виден виртуальный хост (но не весь запрос ... только имя хоста), но последующие запросы будут полностью зашифрованы.
Исходный и целевой IP-адреса не зашифрованы. Так что, если вы беспокоитесь о слежке, кто-то узнает, что связь происходит между двумя конечными точками. Они не будут точно знать, что было запрошено, и не смогут увидеть любую переданную информацию.
Но все это предполагает, что клиент действительно разговаривает с сервером, а не с каким-либо хостом посередине. HTTP в значительной степени полагается на набор доверенных центров сертификации. Если CA скомпрометирован или в клиентской системе установлен ложный сертификат CA, злоумышленник может подделать сертификаты и перехватить обмен данными.