请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
不用 https 自己实现对 http请求的内容的 rsa 加密,这样足够安全吗?如何看待印度APT黑客组织攻击我国医疗机构?
10 月 25 日韩国突发大面积断网,全国企业、普通家庭等均受影响,为何出现断网问题?将造成多大损失?
怎样防范被人肉搜索?
如何通过事件查看开放公网远程桌面的电脑有没有被访问?
如何看待「护苗 2015」行动?
如何成为安全架构师?
若实行网络白名单会是怎样一种机制?
360和火绒你们选哪一个?
有哪些鲜为人知的网络冷知识和技巧?
相关的话题
网络安全真的那么好吗?避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么?
有哪些速度快又好用的网盘值得推荐?
常见的网络攻击类型有哪些?
如何看待b站up主tom表哥硬刚诈骗团伙的行为?
如何通过事件查看开放公网远程桌面的电脑有没有被访问?
如何看待网络安全审查办公室对「滴滴出行」启动网络安全审查?
如何防范中间人攻击(man-in-the-middle attack)?
如何评价百度杀毒软件正式退役,官网称「感谢一路有你」?
元宇宙可能面临哪些网络安全问题?
浏览器是网络安全的最大漏洞吗?
Windows 系统关于用户和权限的逻辑是怎样的?
是否无法写一段代码将这段代码自己打印出来?
如何看待0.5元可买到身份匹配的人脸数据?如何才能避免信息泄露?
现在为什么没有黑客了?
木马和病毒有何区别?
HTTPS可以防止中间人篡改内容吗?
网络安全是不是包含了很多板块?
黑客为什么不攻击卫星?
如何评价「QQ 安全中心」?
如何评价黑客吴石?
有哪些速度快又好用的网盘值得推荐?
如何反驳“代码混淆只是降低了可读性,安全性并没有得到实质提升”的观点?
市售的『USB 键盘记录器』可以记录和窃取账号密码,是什么原理?
为什么fiddler无法抓到讯飞语音输入的请求?
如何看待360杀毒在AV-C等评测机构的测试中因作弊被谴责后发布的公关文?
SMTP的伪造发件人太过简单,一般收件服务商如何应对的?
不用 https 自己实现对 http请求的内容的 rsa 加密,这样足够安全吗?
你所在的行业或者兴趣都有那些有趣的段子?
如何看待黑客组织 Anonymous 声称将大规模攻击中国政府网站的事?