Decriptografado de privacidade #5: Como o HTTPS o mantém seguro (mas não privado)

Resumo:

1. HTTPS protege as conexões da Web. Ele criptografa a conexão entre o seu navegador e um site, dificultando a interceptação e a leitura dos dados que você transfere.

2. HTTPS protege transações financeiras e informações confidenciais. Ele garante que os detalhes do seu cartão de crédito e outras informações pessoais sejam seguros ao fazer compras on -line ou gerenciar sua conta bancária.

3. Let’s Encrypt desempenhou um papel significativo na promoção do uso de https. O projeto emitiu certificados HTTPs gratuitos para milhões de sites, tornando HTTPS quase onipresente na Internet.

4. HTTPS é usado nas conexões do navegador e nas conexões de aplicativos móveis. Ele fornece segurança para navegar sites e proteger conexões para servidores de back -end de aplicativos móveis.

5. HTTPS esconde suas atividades de navegação do seu ISP. Embora seu ISP possa ver que você visitou um site, ele não pode ver as páginas específicas que você visita ou os dados que você insere em um site com segurança https.

6. Https não oculta metadados. Ele não esconde o fato de você ter visitado um site, a frequência de suas visitas ou a duração da sua estadia em um site específico.

7. HTTPS não fornece proteção abrangente à privacidade. Não impede a coleta de metadados ou protege contra os proprietários de sites que rastreiam suas atividades no site deles.

8. VPNs podem melhorar sua privacidade ao lado de HTTPS. O uso de uma rede privada virtual (VPN) pode proteger ainda mais sua privacidade on -line, escondendo seu endereço IP e criptografando o tráfego da Internet.

9. Sites seguros podem ser identificados por um ícone de cadeado travado na barra de URL do seu navegador. Este indicador visual garante que o site que você está visitando é protegido com https.

Questões:

1. Que tipo de informação HTTPS torna privado de um ISP?

Https criptografa o conteúdo do URL, incluindo seqüências de consulta e qualquer coisa além do domínio. Assim, seu ISP não pode ver as páginas ou dados específicos que você acessa em um site com segurança HTTPS.

2. Meu ISP pode conhecer todo o URL (não apenas o domínio) enquanto se conecta a um site com https?

Não, seu ISP não pode ver o URL específico além do domínio quando você se conecta a um site com segurança HTTPS. Somente o próprio domínio é visível.

3. Meu ISP pode ver imagens carregadas através de um site conectado a https?

Não, seu ISP não pode visualizar as imagens carregadas através de um site com segurança https. No entanto, se as imagens forem hospedadas em um domínio separado, o domínio acessado pode ser visível ao ISP.

4. Meu ISP saberia o subdomínio que estou visitando através de https?

Sim, seu ISP pode resolver um endereço IP reverso para determinar o nome de domínio completo, incluindo o subdomínio, quando você visita um site usando HTTPS.

Decriptografado de privacidade #5: Como o HTTPS o mantém seguro (mas não privado)

Isso inclui garantir todas as transações financeiras, como fazer compras on -line e gerenciar sua conta bancária online.

Que tipo de informação HTTPS torna privado de um ISP? [duplicado]

Quão privado é https para um ISP? Por exemplo, meu ISP pode conhecer todo o URL (não apenas o domínio) enquanto se conecta a um site com https? Meu ISP pode ver imagens carregadas através de um site conectado a https? Meu ISP saberia o subdomínio que estou visitando através de https?

Karolinger

Perguntado em 19 de maio de 2015 às 15:25

Karolinger Karolinger

951 4 4 Badges de ouro 19 19 crachás de prata 26 26 Crachás de bronze

19 de maio de 2015 às 15:32

2 respostas 2

Meu ISP pode conhecer todo o URL (não apenas o domínio) enquanto se conecta a um site com https?

  • Eles saberão/poderão registrar qual IP você está acessando em virtude de pacotes TCP/IP percorrendo o ISP. O conteúdo do URL é criptografado, strings de consulta e qualquer coisa após o https: // domínio.exemplo/ não pode ser visto.
  • Se você usou os servidores DNS do seu ISP para renovar o nome de domínio em questão, eles poderão visualizar/registrar isso diretamente.
  • Se você usou um provedor de DNS não-dissidente de terceiros para resolver o nome de domínio, eles poderão visualizar/registrar isso no trânsito como DNS padrão não é criptografado. Alguns ISPs implementam proxy transparente em portas DNS padrão para impedir que você use um DNS de terceiros.

Meu ISP pode ver imagens carregadas através de um site conectado a https?

Não. No entanto, se as imagens estiverem hospedadas em um domínio separado, elas poderão ver o domínio sendo acessado e o acima se aplica.

Meu ISP saberia o subdomínio que estou visitando através de https?

É trivial resolver um IP reverso no nome de domínio completo.

Decriptografado de privacidade #5: Como o HTTPS o mantém seguro (mas não privado)

Ao navegar na web, você se conecta a sites usando o Hypertext Transfer Protocol (HTTP), desenvolvido pela primeira vez por Sir Tim Berners-Lee (que agora é membro (nova janela) do Proton’s Conselho Consultivo).

Protocolo de transferência de hipertexto seguro (HTTPS) é a versão segura do HTTP, usando o protocolo de criptografia TLS (nova janela) para proteger conexões da Web. É a pedra angular de toda a segurança na internet, possibilitando muito do que tomamos como garantido pode ser capaz de fazer na internet.

Isso inclui garantir todas as transações financeiras, como fazer compras on -line e gerenciar sua conta bancária online.

Não era’Há muito tempo que a maior parte da Internet era terrivelmente insegura, com a maioria dos sites usando HTTP simples. No entanto, graças em grande parte ao sem fins lucrativos, deixe’S Project (New Window), que começou em 2015 e agora emitiu certificados HTTPS gratuitos para mais de 265 milhões de sites (nova janela), o uso de sites HTTPS agora é quase onipresente.

O HTTPS é mais frequentemente associado a garantir que as conexões do navegador com sites sejam seguras e, por simplicidade, neste artigo discutiremos isso neste contexto. No entanto, o HTTPS também é usado por aplicativos móveis para proteger a conexão com seus servidores de back -end.

O que o HTTPS protege?

HTTPS protege a conexão entre o seu navegador e um site. Se você visitar um site usando HTTP regular (sem segurança), seu ISP poderá ver tudo o que você faz nesse site-quais páginas individuais você visita e quaisquer dados que você inserir (como detalhes do seu cartão de crédito ao fazer um pagamento).

Como todos os dados transferidos entre o site e seu navegador não são criptografados, eles podem ser interceptados e lidos por hackers criminais, agências governamentais ou qualquer pessoa que se importe em olhar.

Se um site usa https, todas essas informações estão ocultas do seu ISP. Tudo o que pode ver é que você visitou o site – não o que você faz nele. E como a conexão entre seu navegador e o servidor da web é criptografada, seus dados são seguros contra terceiros. Graças à aceitação generalizada dos HTTPs (veja abaixo), agora é geralmente seguro usar pontos de acesso Wi -Fi público sem a necessidade de uma VPN.

O proprietário do site, é claro, pode ver o que você faz em seu próprio site e (a menos que você tome medidas para evitá -lo, como usar uma VPN (nova janela) para ocultar seu endereço IP real), saberá quem você é.

O que o HTTPS não se esconde de observadores externos é que você visitou um site (ou usou um aplicativo), quando o visitou, com que frequência o visitou ou por quanto tempo ficou no site. Em outras palavras, não impede a coleção de metadados.

Isso é importante do ponto de vista da privacidade, pois não é necessário adivinhar a afiliação política de alguém que visita regularmente o Partido Republicano.com (nova janela), a orientação sexual de alguém que usa o aplicativo Grindr, ou que alguém que visita sites de maternidade provavelmente estará grávida. Isso é verdade, independentemente do fato de que quem está assistindo não’sabia o que o visitante faz uma vez nessas plataformas.

Então pode ser dito que O HTTPS mantém você seguro online, mas faz pouco para proteger sua privacidade (Novamente, isso é algo que um VPN pode ajudar).

Como saber se um site usa https

Todos os navegadores implementam uma medida de segurança que permite que você verifique, de relance, se o site que você estiver visitando protege a conexão usando HTTPS. Basta procurar o ícone fechado de bloqueio na barra de URL. Por exemplo:

Desktop Chrome mostrando que um wesite está protegido com https

Firefox para Android mostrando que um wesite está protegido com https

Os navegadores também mostrarão claramente quando um site não é protegido por https. Por exemplo:

Desktop Chrome mostrando que um site não está protegido com https

Firefox para Android mostrando que um site não está protegido com https

Como funciona os https?

HTTPS protege a conexão entre um navegador da web e um servidor da web com criptografia TLS.

Os algoritmos de criptografia reais utilizados são negociados entre o servidor da web e o cliente (navegador). A maioria dos navegadores permite que você clique ou toque no ícone de bloqueio para aprender mais detalhes de segurança sobre os algoritmos de criptografia usados ​​para a conexão HTTPS.

CGrome para Android mostrando detalhes de criptografia

Navegador cromo para Android

Https usa o x.509 Infraestrutura de chave pública (PKI) para negociar uma nova conexão. Este é um sistema de criptografia assimétrica que usa a criptografia de chave pública para garantir a troca -chave. Ou seja, o servidor da web apresenta uma chave pública, que é descriptografada usando um navegador’s chave privada.

Para garantir que seu navegador esteja se conectando ao servidor, ele pensa’s conectando-se a (e assim impedindo ataques de homem no meio), x.509 usa certificados HTTPS. Estes são pequenos arquivos de dados que ligam digitalmente um site’s chave criptográfica pública para uma organização’s identidade.

Os certificados HTTPS são emitidos por uma autoridade de certificado (CA), uma organização que (pelo menos em teoria) verificou que pode ser confiável para emitir apenas certificados para organizações válidas. Se um navegador aceita os certificados HTTPS emitidos por uma determinada organização depende dos desenvolvedores do navegador.

Em meados de 2020, o Mozilla Firefox aceitou questões de certificado por 52 autoridades de certificação, MacOS (e, portanto, Safari) reconheceram 60 CAS, e o Microsoft Windows (e, portanto, Edge Chromium) 101 CAS.

É https seguro?

Sim. HTTPS protege cada um dos milhões de transações financeiras que ocorrem a cada minuto ao redor do mundo. Se https estivessem’T seguro, haveria um colapso global.

Isto é n’T para dizer que não há problemas com o padrão. O CAS pode ser (e foi (nova janela)) pressionado pelos governos a emitir certificados HTTPS para sites duvidosos ou pode ser invadido por criminosos para emitir certificados falsos.

Pesquisas também sugeriram que, em um ataque altamente direcionado, pode ser possível usar a análise de tráfego HTTPS (nova janela) para descobrir as páginas da Web individuais que uma visita de destino em sites seguros de HTTPS.

Como a criptografia utilizada é negociada entre o cliente e o navegador, ele’também é importante que ambos estejam executando software atualizado.

Essas são questões que podemos discutir com mais detalhes em um futuro episódio de privacidade descriptografada. O ponto principal, no entanto, é que o mundo conta com HTTPS para nos manter seguros online, e faz um bom trabalho em fazer isso.

Vale a pena ter em mente, porém, que a segurança não é a mesma que a privacidade. Se você deseja manter seus metadados (que podem revelar uma quantidade enorme sobre você) privado, você deve protegê -lo usando uma VPN quando navegar na web.

Como suas ISPs podem rastrear sua atividade online?

Seu ISP pode rastrear sua atividade on -line analisando em quais sites você faz logon. Não’Não importa se você usa o modo incógnito e apenas visite sites criptografados de HTTPS … seu ISP ainda pode ver em quais sites você faz logon.

Quando você abre uma guia incógnita no Chrome ou em uma janela privada no Firefox, a primeira tela permite que você saiba que, embora seu histórico de navegação e cookies não seja armazenado nesse modo de navegação, você ainda estará visível para o seu governo ou provedor de serviços de Internet (ISP), eu.e., Eles podem ver quais páginas você visita.

Navegação privada do Firefox com Proteção de Rastreamento ISP e Crome Incognito ISP

Ao ler esse aviso na página em branco de tais guias incógnitas, você já se perguntou como seu ISP pode rastrear sua atividade online?

Além disso, você deve ter ouvido dizer que as páginas da web criptografadas de https não podem ser lidas por terceiros, eu.e., ninguém mais, exceto você e o site que você’Re On, pode determinar o que você’estar fazendo nesse site (que páginas você visita, que conteúdo você vê etc.). Então, seu ISP pode saber quais páginas da web você’está visitando se todas as páginas que você visita são criptografadas (em palavras simples, suas estrelas de URL com “https: //”)?

Deixar’s começa com o que é realmente uma criptografia https.

Vídeo recomendado para você:

Se você deseja comprar/licenciar este vídeo, escreva -nos em [email protected].

Qual é o protocolo HTTPS?

Https é apenas um bom e velho http, com um extra ‘S’ no final. Enquanto o HTTP significa protocolo de transferência de hipertexto, o extra “S” em HTTPS significa ‘Seguro’. HTTPS é um tipo de protocolo em que os dados HTTP criptografados são transferidos por uma conexão segura. Embora as páginas HTTP sejam mais vulneráveis ​​a bisbilhotar por terceiros, as páginas HTTPS não são, pois criptografaram sua comunicação com o site que você’re on. Http & httpsQuando você abre um site HTTPS no seu navegador, o site envia seu certificado SSL para este último. Certificados SSL (Sockets Sockets) fornecem comunicação segura e criptografada entre um navegador da Internet e um site. O certificado SSL contém o ‘chave pública’ (Basicamente, um longo código digital) necessário para iniciar a sessão segura (entre o site e seu navegador). Com base nesta troca, seu navegador e o site de destino fazem um ‘Ssl’ handshake, que envolve a produção de compartilhamento compartilhado ‘Segredos’ que ajudam a estabelecer uma conexão exclusivamente segura entre o seu navegador e o site. Depois que essa conexão segura é estabelecida, a conexão entre o seu navegador e o site é criptografada, o que significa que nenhum terceiro pode acessar as informações que você compartilha com esse site. Esta é a maior vantagem dos HTTPs sobre o HTTP, pelo menos em teoria. Nos navegadores modernos, como Chrome e Firefox, você verá um ícone de cadeado na barra de endereços do navegador sempre que visitar um site criptografado por HTTPS. Barra de endereço de cadeado https
Leia também: Se sites não’t Armazene sua senha em seus servidores, como eles podem dizer a força da sua senha?

Como seu ISP pode ver sua atividade online?

E se eu lhe disse

Se você tem uma conexão com a Internet, significa que você tem um ISP, eu.e., um provedor de serviços de internet. Um ISP não apenas fornece uma conexão à Internet com seus clientes, mas também o controla … de uma maneira importante! Um ISP controla todo o equipamento pelo qual seus dados da Internet fluem quando atinge seu computador. Como tal, pode absolutamente ‘olhar’ em que sites você visita online. Não’Não importa se você usa o modo incógnito e apenas visite sites protegidos por HTTPS … seu ISP ainda pode ver em quais sites você faz logon. Veja bem, quando você visita um site, seu computador pergunta ao seu servidor DNS (provavelmente controlado pelo seu ISP) para traduzir o nome de domínio (e.g. “Scienceabc.com”) em um endereço IP. Posteriormente, seu computador se conecta ao servidor no dado ‘alvo’ Endereço IP e eles começam ‘conversando’ com a ajuda de URLs (eu.e., baixando e carregando informações). Observe que você nunca pediu ao seu ISP para levá -lo a esses URLs; Tudo o que você fez foi pedir ao seu servidor DNS (provavelmente controlado pelo seu ISP) para converter um nome de domínio em um endereço IP. Depois que seu ISP fez isso, o restante da comunicação estava entre o seu navegador e o servidor do site de destino, com seu ISP atuando como carteiro ou mensageiro, eu.e., entregando suas mensagens ao site, coletando sua resposta e depois entregando -a a você.

Meu ISP ainda pode rastrear minha atividade online se eu usar apenas sites criptografados de HTTPS?

Não tenho certeza se invadindo privacidade ou apenas realmente interessado em mim meme

Com certeza pode. E em muitos casos, eles realmente fazem. Como mencionado anteriormente, seu ISP atua como mensageiro ou carteiro. Leva suas cartas e pacotes para onde eles precisam ir. Agora, a criptografia HTTPS certamente protege o conteúdo de suas cartas, mas o correio ainda precisa levar essas cartas a você para o destinatário. Como tal, tem que saber onde exatamente Você quer enviar suas cartas, certo? Em outras palavras, ele precisa saber o endereço do seu destinatário. Em poucas palavras, seu ISP pode não ser capaz de ver O que exatamente você’estou olhando em um site (digamos, YouTube) se isso’S Https-criptografado, mas certamente pode ver que Você entrou no YouTube. Assim como você não pode esconder o destinatário’s endereço do Mailman, você também não pode esconder quais sites você’está acessando do seu ISP. No entanto, existem certas alternativas para bloquear o rastreamento do ISP, como usar uma VPN (Rede Privada Virtual), que pode proteger sua privacidade online. Infelizmente, eles geralmente têm um preço premium, e sua eficácia e confiabilidade geralmente são uma causa de preocupação para os usuários. Leia também: o que exatamente acontece quando você visita um site?

HTTPS impede o rastreamento do ISP?

O Reddit e seus parceiros usam cookies e tecnologias semelhantes para proporcionar uma experiência melhor.

Ao aceitar todos os cookies, você concorda com o uso de cookies para fornecer e manter nossos serviços e site, melhorar a qualidade do Reddit, personalizar o conteúdo e publicidade do Reddit e medir a eficácia da publicidade.

Ao rejeitar cookies não essenciais, o Reddit ainda pode usar certos cookies para garantir a funcionalidade adequada de nossa plataforma.

Para mais informações, consulte nosso aviso de cookie e nossa política de privacidade .