Шифруются ли данные формы POST-запроса при аутентификации с «Главной» страницы Яндекс (www.yandex.ru)?

Question

[Fredcapit]

Подскажите, пожалуйста, шифруется ли соединение при передаче данных формы при аутентификации с главной страницы Яндекс.
Ниже привожу часть POST запроса с "Главной" (htttp://www.yandex.ru) страницы при нажатии кнопки "Войти"

Request URL:https://passport.yandex.ru/passport?mode=auth&...
Request Method:POST
Status Code:200 OK
Request Headers
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding:gzip,deflate
Accept-Language:ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cache-Control:max-age=0
Connection:keep-alive
Content-Length:214
Content-Type:application/x-www-form-urlencoded
Cookie:fuid01=53f184ff62c3ed01.2mgeiXsSqueAq9snqLslHENPo_L87SxJqEUWzjOdBfQGgVllZgAkIzsmBQtjN1ZttlfDzFuF3TpYt2Aav6-5hyQbWbuVh9tCZGzn8dPIitneA-gO2WUlcuuTfkDwn8uQ; L=YkokDkgBW1F5cHd6Xk8KVFwGUwdAY2gIJEA0PyV9WSkxJBs3HQchdQc3T1csBzZcB1IKVwMhLTckRhkPHRx7LA==.1410158152.11179.275070.4c45f70f9c78c62605c17da68feef5dd; my=YzYBAQA=; yabs-frequency=/4/0m0100582LHle0PK/D3gmSC0QGOiwi7306c7Ppt5mm1f1qZcmSBmQ8WG40psp6YS0004EEh1mh1edn1IlSAWQPySoi72l6lp____spt5mR1gy/; yandexuid=98474201408337145; yp=1425490893.mu.1#1441344522.s5px.1#1426011658.mv.0; ys=wprid.1410246762741414-283766807225971896003588-ws22-099
Host:passport.yandex.ru
Origin:http://www.yandex.ru
Referer:http://www.yandex.ru/
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.103 Safari/537.36
Query String Parameters
mode:auth
retpath:https://mail.yandex.ru/?origin=log_ru_l
origin:log_ru_l
Form Dataview
login:ЗдесьМойЛогин
passwd:ЗдесьМой Пароль
twoweeks:yes
timestamp:1410246874211

Answer 1

[Fredcapit]

Сам нашёл ответ.
Слава богу, что браузерами всё уже предусмотрено. Не знаю только, как проходит аутентификация в случае, если у пользователя старый браузер, например Internet Explorer 8.

Answer 2

[Влад Животнев]

Там action на https://passport.yandex.ru/passport?mode=auth&retpath=https%3A%2F%2Fmail.yandex.ru%2F%3Forigin%3Dlog_ru_nol&origin=log_ru_nol в явном виде прописан.

Comments

[Fredcapit]

Понятно, но изначально мы находимся на страничке полученной по http протоколу, а значит наш запрос POST по умолчанию (даже если мы обращаемся на https) будет не зашифрован.
Но, к счастью, был придуман механизм под названием HSTS, об этом хорошо описано в статье, которую я выше указывал.
Говоря простым языком, при переходе с http на https страницу браузер уже знает, что c https://passport.yandex.ru/passport нужно трафик шифровать и шифрует его несмотря на то, что "https соединение ещё не установлено".

[Влад Животнев]

@Fredcapit у вас POST запрос отправляется на урл https://
Вместе с DATA. В данном случае - всегда.
На какой странице вы при этом находитесь (https/http) - неважно. Можете включить wireshark и проверить.
Отрисовка формы происходит на клиенте, отправка данных жаюоскриптом сразу в паспорт.

Если есть еб*ый браузер, который отправляет POST-запрос на http://, когда ему явно сказано отправлять в https-урл - могу посоветовать только выкинуть его (или отправляет DATA незашифрованной прежде, чем делать хендшейк).

Ну и да, соединения http и https устанавливается совсем по-разному, так что у браузера особой возможности отправить незашифрованные данные в https нет (ну то есть есть, но их там никто ждать и обрабатывать не будет).

HSTS он про другое немного. Ну то есть он в этом случае тоже сработает, но в этом нет необходимости.

Anyway, если кусает паранойя - советую всегда авторизовываться по ссылке https://passport.yandex.ru/

[Fredcapit]

Тогда дайте ссылку на хорошую статью про то как происходит передача данных по http протоколу. Насколько я знаю, пока не установлено зашифрованное соединение, о чем нам сообщит браузер в строке адреса, отправленные данные не будут зашифрованы или я ошибаюсь.
Можете объяснить как работает https протокол, проходит ли "рукопожатие" при отправке данных с http страницы на https?

[Влад Животнев]

@Fredcapit тебе тут статьи не хватит, чтобы понять всё это. Читай отсюда https://ru.wikipedia.org/wiki/HTTP https://ru.wikipedia.org/wiki/HTTPS и до заката (там полно ссылок на RFC).

Вкратце - по https клиент обязан не передавать никаких незашифрованых данных, кроме служебных заголовков, необходимых для хендешейка. Например, поля Host в SNI. Если шлет - клиент дебил. Точка.
Обратиться в https порт без хендшейка http-запросом нельзя, сервер обязан ничего не ответить.

Дальше. HTTP - текстовый stateless протокол. Скачал, отправил, скачал, отправил. Всякие извращения вида websockets (которые на низком уровне на самом деле работают ровно так же) в рассчет не берем.
Нет никакого "отправил данные по https с http страницы". Есть "загрузил страницу по http", "отправил запрос по https".
На скачанной по http странице у тебя рендерится форма для ввода логина и пароля, в параметрах которой написано "отправь данные формы по урлу https://...". И браузер введенное в эту форму отправит по https.

Другой вопрос, что эту форму тебе могут по дороге подделать MITM-ом (и подставить в параметры формы http-ссылку в совершенно левое место).
Так что:
> Anyway, если кусает паранойя - советую всегда авторизовываться по ссылке https://passport.yandex.ru/