我正在使用谷歌SSL搜索(https:www.google.com),期望我的搜索将是私人的。然而,我搜索'多士炉'产生这个查询: https://encrypted.google.com/search?hl=en&source=hp&q=toasters&aq=f如何防止SSL URL泄露信息?
正如你所看到的,我的雇主仍然可以记录这一点,看看搜索是什么。我如何确保当有人使用SSL(使用自定义谷歌搜索)在我的网站上进行搜索时,他们的搜索字词不可见。
该URL通过SSL发送。当然,用户可以在他们自己的浏览器中看到URL,但它在转换网络时不可见。除非他们是SSL连接的另一端,否则您的雇主不能登录它。如果您的雇主创建了CA证书并将其安装到您的浏览器中,他们可以使用代理欺骗Google主机名称,否则流量是安全的。
HTTPS保护整个整个包括URL在内的HTTP交换,因此拦截网络流量的人唯一能够确定的是浏览器与您的网站(或Google在这种情况下)之间进行了通信。即使没有内脏,这些信息也是有用的。
除非您对制作查询的系统有完全的管理控制权限,否则您应该假设可以拦截或记录其上发生的任何事情。浏览器通常将历史和缓存页存储在本地磁盘上的文件中,管理员可以读取它们。即使在“私人”模式下,您也无法验证浏览器本身是否没有用代码重新编译来记录访问过的网站。
增加到@erickson说,读this。 SSL将保护关联方之间的数据。如果您需要隐藏该老板的链接,请禁用浏览器缓存访问的网站,即禁用或删除历史数据。
想必你的雇主提供了一个PC,其上的软件,局域网连接到自己的企业网,互联网代理服务器和企业防火墙,也许DNS服务器,等等等等
所以你接触到交通嗅探和追踪在许多不同的层面。即使您通过SSL TLS浏览网址,也必须假定您的http会话内容可以被记录。你是否总是检查浏览器中的证书是来自谷歌而不是你的雇主的代理?你知道你的浏览器和网卡等之间坐在什么软件
但是,如果你有在客户端完全控制,那么你可以肯定的是没有一个外部与谷歌的HTTPS的谈话会能够看到您要求的网址。
谷歌仍然知道你在做什么,但是这是你的搜索引擎,你的良心之间的私事;)
正如@erickson所说,他们需要替换证书(或者完全控制桌面来记录击键或其他事情,这是可能的),否则,如果只是控制代理,他们将不会看到任何连接的内容(Web服务器的主机和端口除外)。 – Bruno 2010-09-15 10:02:37
在工作中搜索“烤面包机”,是吗? – 2010-09-08 14:19:02