302将HTTPS请求重定向到HTTP - 可以公开加密内容吗?

时间:2014-09-25 21:48:46

标签: security http ssl https

情况

https ://www.example.com/ 的HTTPS请求被重定向(302)为伪造的HTTP网址 < em> http ://www.example.com/ 由中间人(例如受感染的代理服务器)。

我假设http客户端将使用几乎相同的请求,包含所有标头和内容,并将其发送到新URL。也许客户足够聪明以避免它 - 我自己没有测试过。在我这样做之前,也许有知识的人可以回答这个问题。

问题

在调用伪HTTP重定向URL期间是否可以窃听标题和内容?

1 个答案:

答案 0 :(得分:3)

要进行此类重定向,您必须已经破坏了连接或会话,例如通过使用伪造的证书(客户明确需要接受),通过拥有拦截代理(通常是防火墙)或使用跨站点请求或对网站的类似攻击来安装中间人攻击在浏览器中创建重定向。

如果其中任何一个属实,整个安全性都会受到影响,数据可以通过各种方法提取,而不仅仅是重定向。