Forum général.hors-sujets Requête en clair dans url du moteur de recherche ..

Posté par  . Licence CC By‑SA.
Étiquettes :
-6
20
déc.
2017

Salut,

J'ai besoin d'un éclaircissement technique.

C'est quoi l'intérêt de promouvoir un moteur de recherche qui se veut militant pour respecter et protéger notre vie privée, si la recherche apparaît en claire dans l'url de la requête …

Ca laisse une belle trace de la requête dans tous les proxy traversés non ?

Notamment celui de ma boite, et tout les éventuels traceurs des FAI …

Je parle de Qwant, (flemme de faire une capture t'as juste à tester pour constater).

J'espère me tromper ou louper quelque chose.

  • # HTTPS

    Posté par  (site Web personnel) . Évalué à 9.

    (flemme d'expliquer, t'as juste à lire la page wikipedia)

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: HTTPS

      Posté par  . Évalué à -7. Dernière modification le 20/12/17 à 23:11.

      Pour le coup j'pense que sois je me suis mal fait comprendre soit tu ferais bien de relire (en plus orienté vers wikipédia pour https c'est juste un sketch t'as vachement du aller le lire …)

      Merci j'ai compris depuis le temps l'intérêt d'https qui chiffrait le contenu des transactions … je ne découvre pas le protocole ce soir.

      Or je me répète mais la requête de mon navigateur est "claire" dans l'url (elle n'est pas triturée comme avec d'autre moteur de recherche).

      Donc il me semble (et j'aimerais qu'on m'éclaire de façon plus pertinente qu'avec une redirection hautaine et foireuse vers wikipédia), que ma requête vue qu'elle est affichée en claire (non triturée) dans l'url va aller directement s’écrire dans les proxy traversées https ou pas, je ne vois pas le rapport … ou alors des updates ont été réalisées dans le protocole que j'ignore.

      Le proxy voit toutes les urls demandées pas les contenu, mais l'url va être écrite dans les logs du proxy !

      • [^] # Re: HTTPS

        Posté par  . Évalué à 10.

        redirection hautaine et foireuse vers wikipédia

        Il te taquine sur ton

        Je parle de Qwant, (flemme de faire une capture t'as juste à tester pour constater).

        faut pas se braquer! Et si tu faisais l'effort de lire la page en question tu lirais:

        Because HTTPS piggybacks HTTP entirely on top of TLS, the entirety of the underlying HTTP protocol can be encrypted. This includes the request URL (which particular web page was requested), query parameters, headers, and cookies (which often contain identity information about the user).

        Le graissage est de moi!

      • [^] # Re: HTTPS

        Posté par  . Évalué à 6. Dernière modification le 22/12/17 à 00:31.

        Le proxy voit toutes les urls demandées pas les contenu, mais l'url va être écrite dans les logs du proxy !

        Non. Pas avec HTTPS. Dans les logs on verra juste qu’une connexion SSL a été établi entre une adresse donnée et ton poste. On pourra relier cette adresse au nom de domaine, d’une part parce que c’est une information publique et d’autre part car ton poste, avant que ton navigateur affiche la page, aura déjà demandé de résoudre le nom de domaine machin.com au serveur DNS de ta boîte :) S’il y a un proxy pour la navigation il y a de forte chance que tu ne puisses pas utiliser les serveurs DNS publics de Google ou autre (et de toute façon c’est public…).

        L’URL dans son ensemble est, elle, chiffrée.

        Tout ceci étant dit, une autre chose est possible. C’est que le réseau sur lequel tu te trouves fasse du DPI en s’imposant comme intermédiaire (on parle de "man-in-the-middle") pour la connexion HTTPS, là on saura tout du contenu auquel tu accèdes. Dans une entreprise, où l’OS voire le navigateur est généralement imposé, c’est assez facile à mettre en place. Par contre c’est coûteux (mais au prix de la donnée de nos jours…), puisqu’il faut déchiffrer pour rechiffrer derrière.

        Le fait d’utiliser Qwant c’est pas pour protéger ta vie privée quand tu accèdes à internet à partir de la connexion de quelqu’un d’autre… Le concept c’est de ne pas enregistrer et exploiter ensuite les données, pour eux, en les revendant ou d’une quelconque autre manière. Ce qui est, au contraire, la base du business de Google.

        • [^] # Re: HTTPS

          Posté par  (site Web personnel) . Évalué à 3.

          On pourra relier cette adresse au nom de domaine, d’une part parce que c’est une information publique et d’autre part car ton poste, avant que ton navigateur affiche la page, aura déjà demandé de résoudre le nom de domaine machin.com au serveur DNS de ta boîte :)

          Aussi, parce que le nom de domaine est souvent passé en clair dans la requête : https://fr.wikipedia.org/wiki/Server_Name_Indication

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.