HTTPS 使用 TLS，即传输层安全性。HTTP 作为一种协议，运行在传输层之上。这意味着通过 HTTPS 进行的所有通信（包括 URL）都受到保护。

由于其他原因，在 URL 中传递会话 ID 是不安全的。例如，它暴露了Session Fixation的可能性。如果用户打印网页，则写入纸张的会话 ID。它还破坏了 HTTPOnly cookie 的使用……这只是一个坏主意，而且这家银行很可能在安全性方面做出了其他糟糕的选择。

不，在发出 HTTPS 请求时，URL 不是以纯文本形式传递的，但正如 Rook 所说，在 URL 中传递会话 ID 时还有其他漏洞。
1. 其中之一是您的会话 ID 将被列为引荐来源网址。因此，如果您单击从您的银行网站到另一个网站的链接，链接的网站现在将记录您的会话 ID。加载的任何图像或脚本都会发生同样的情况。
2. 除了链接站点存储信息的问题之外，如果链接指向非 https 站点，那么包含您的会话 id 的引荐来源网址将以纯文本形式发送，允许任何嗅探网络的人获取该 URL。

使用 HTTPS 时，流量将被加密。这里唯一的问题是，如果恶意用户有权嗅探您的流量，他也可能滥用作为目标服务器并与您建立加密连接，看起来就像是您的银行。然后，攻击者将与银行创建另一个会话，并将您的所有请求转发给银行，并将所有响应转发给您。这让您产生一种错觉，即您实际上是在与您的银行沟通，而实际上您并没有。

这就是证书发挥作用的地方，因为它们可以用来验证目的地就是他们所说的那个人。在这种情况下，你银行。

还有一些滥用证书的方法，使它们看起来合法。

我建议您查看： http ://www.thoughtcrime.org/software/sslsniff/

可以在此处找到有关此主题的精彩视频： https ://www.youtube.com/watch?v=ibF36Yyeehw

我将不得不不同意这里的一些答案。严格来说，没有任何 URL 不能被完全嗅探，因为它们受到 SSL 的保护，正如正确说明的那样。

本着“我安全吗”这个问题的精神，请注意，如果他们能够嗅探，他们通常可以进行 MITM 攻击，即使您通常使用 SSL 的网站也可以获得详细信息。（见 sslstrip）。

要点是始终注意您的浏览器，不要想当然:)