https プロトコルを使用した Web サイトのデータは、ブラウザとサーバーの間で転送されるときに暗号化されることを理解しています。いつ暗号化されますか?
ログイン フォームで、Telerik Fiddler Web Debuger を使用してリクエストをキャプチャすると、プレーンテキストのパスワードが表示されます。もう 1 つの質問ですが、トラフィック スニフ ツールまたはプロキシを使用する IT 管理者は、HTTPS 要求をキャプチャして機密値を確認できますね。
では、いつデータが暗号化されるのでしょうか?
それは興味深い質問です。ブラウザのネットワーク ライブラリは、HTTPS 経由でリクエストを送信するときにデータを暗号化します。リクエストが HTTPS 経由で送信されると、クライアント (ブラウザ) は TLS ハンドシェイクを実行して暗号化の詳細をネゴシエートし、データを暗号化して送信します。表示されているプレーンテキストのパスワードは、プロキシ アプリケーションではなく、Fiddler のブラウザー プラグインにあると想定しています。特定のリクエストを検査している間、ブラウザのネットワークタブでクリアパスワードを含むネットワークリクエスト情報/ペイロードをいつでも見ることができます。HTTPS 経由で送信された場合、プロキシ インターセプターや、wireshark などのスニファー アプリで、要求のデータをプレーン テキストで表示することはできません。Telerik Fidler のビデオからわかるように、HTTP 要求のみが表示されています。
SSL トラフィックを検査できるプロキシ (man in the middle プロキシ) を確実にセットアップできます。これは、多くの企業ネットワークで行われています。そのためには、ブラウザーによって信頼される SSL 証明書を使用してフォワード プロキシーをセットアップします。これにより、プロキシーはブラウザーからの HTTPS 要求を復号化して検査することができます。
HTTP 経由でデータが送信されると、データが傍受される可能性があり、ユーザーは要求情報とペイロードを見ることができます。これが、人が常に TLS 接続を介して機密データを送信する必要がある理由です。
アップデート:
この図は、HTTPS を介したクライアントからサーバーへの接続を示しています。フォーム データは、インターネット経由で送信される前に常に暗号化されます。
