PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr

PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr (https://www.php-resource.de/forum/)
-   IT-Security (https://www.php-resource.de/forum/it-security/)
-   -   SSL-Handshake (https://www.php-resource.de/forum/it-security/96615-ssl-handshake.html)

tracer23 03-06-2009 02:10

SSL-Handshake
 
Hallo,

ich habe eine URL wie z.B.

https://meine.domain.tld/folder/scri...hp?param=value

Kann ich sicher sein, dass "folder/scriptname.php?param=value" immer verschlüsselt übertragen wird?

Laut RFC 2818 / 2.1 "sollte" ja der erste GET-Request erst gesendet werden nachdem die Verbindung über TSL steht. Gibt es evt. Fälle in der Praxis bei denen Browser oder Applikationen die komplette URL unverschlüsselt rausschicken (zur Namensauflösung oder wegen was auch immer)?

Habe mal ein wenig mit Firefox gespielt, hier konnte ich in den Protokollen (Wireshark) nicht feststellen, dass die Daten unverschlüsselt übertragen wurden.

Ist mein Verständnis vom Ablauf generell richtig (stark vereinfacht dargestellt)?
  • URL wird in Browser eingetragen
  • Browser extrahiert Domain (meine.domain.tld)
  • Falls zugehörige IP nicht im Cache wird diese über den DNS-Dienst des OS angefordert (gibt es hier evt. Programmie die nicht nur die reine Domain sondern die ganze URL an das OS respektive DNS-Dienst weiterreichen?)
  • Kommunikation zwischen Server (auf Port 443) und Browser wird aufgebaut, TSL Handshake wird durchgeführt
  • Falls der Handshake erfolgreich war, folgt über die aufgebaute TSL-Verschlüsselung die erste GET-Anfrage an den Server (basierend auf dem HTTP-Protokoll), erst jetzt wird das
    "folder/scriptname.php?param=value" erstmalig übertragen.

Hat jemand eine Dokumentation wo das Verfahren genauer beschrieben ist?

Danke für Eure Hilfe!


Alle Zeitangaben in WEZ +2. Es ist jetzt 05:03 Uhr.

Powered by vBulletin® Version 3.8.2 (Deutsch)
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 3.3.0
[c] ebiz-consult GmbH & Co. KG