일반적으로 대화하고있는 서버의 이름이 유출됩니다 ("stackoverflow.com"). SSL/TLS가 연결되기 전에 DNS를 통해 유출되었을 수 있습니다.
서버 인증서가 누수되었습니다. 보낸 클라이언트 인증서 (일반적인 구성 아님)는 분명히 전송되었을 수도 있고 아닐 수도 있습니다. 능동적 인 공격자 (man-in-the-middle)는 아마도 브라우저에 요청하여 어쨌든 수신 할 수 있습니다.
"/ questions/2146863/how-much-data-is-ssl-connection에서 누출 된"URL의 경로 부분이 유출되어서는 안됩니다. 암호화되고 안전한 것으로 전달됩니다 (클라이언트와 서버가 올바르게 설정되었고 어떤 인증서 오류도 클릭하지 않았다고 가정).
정적 인 콘텐츠에 대한 일부 사항을 추론 할 수있는 트래픽 분석 공격이있을 수있는 다른 포스터입니다. 사이트가 매우 크고 역동적이라면 (stackoverflow.com) 나는 많은 유용한 정보를 얻는 것이 매우 어려울 수 있다고 생각합니다. 그러나 고유 한 크기의 파일이 몇 개 밖에없는 경우 다운로드가 확실 할 수 있습니다.
양식 POST 데이터가 유출되어서는 안됩니다. 알려진 크기의 객체를 전송하는 경우에는 일반적인주의 사항이 적용됩니다.
타이밍 공격으로 인해 일부 정보가 노출 될 수 있습니다. 예를 들어, 공격자는 응용 프로그램의 여러 부분 (예 : 특정 데이터베이스 테이블)에 스트레스를가하거나 디스크에서 일부 정적 파일을 미리로드하고 연결 속도가 느려지거나 응답 속도가 빠른지 지켜 볼 수 있습니다.
이것은 "누출"정보이지만 대부분의 사이트에서는 큰 문제가 아닐 수 있습니다.
위의'https : // url : 443'에'url'을 쓰는 곳은'domain-or-ip'가 더 나은 설명이라고 생각합니다. 도메인 이름은 SSL 연결에서 "명확한"것은 아니지만 별도의 DNS 조회를 통한 것일 수 있습니다. 연결하려는 서버의 IP 주소가 명확하게 표시됩니다. – awatts
'url'에 원시 IP를 지정하면 클라이언트 응용 프로그램은 사용자가 올바른 서버 (예 : 비 악의적 인 서버)에 연결하고 있는지 확인할 수 없습니다. 이는 서버가 IP 주소가 아닌 DNS 도메인 이름 집합에 대해 발급 된 인증서로 ID를 증명하기 때문입니다. –
이 대답의 첫 번째 문장은 오해의 소지가 있습니다. 서버 ('ClientHello')에 대한 초기 요청을 할 때 서버의 IP는 이미 알려져 있습니다. SNI가 사용 중이면 URL의 가상 호스트도 유출됩니다. 프로토콜 분석기 (훌륭한 제안)를 사용하기로 결정했다면, 여러분이보고있는 것은 최소한의 누설이라는 점을 기억하십시오. 사소한 검사를 통해 거의 알 수없는 누설이 거의 발생합니다. – Andrew