请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
如何对付背后阴人的龌龊小人?深度学习在信息安全的应用有哪些可以关注的人或论文?
HTTPS可以防止中间人篡改内容吗?
如何评价「最大的安全公司之一 Norse Corp 濒临倒闭」?
ORM 框架能自动防止SQL注入攻击吗?
HTTPS体系中若攻击者将自己公钥上传CA得到签名,并将两者一起用于篡改证书的中间人攻击会怎样?
如何看待微软对「永恒之蓝」事件的处理?
为什么国内部分用户喜欢安装类似「360 安全卫士」的软件呢?
关于互联网安全,你有什么看法?
如何看待网络安全审查办公室对「滴滴出行」启动网络安全审查?
相关的话题
如何评价黑客吴石?前后端分离项目,接口返回 200 但是里面返回 500 合理吗?
既然有文件后缀名,为何还需要MIME类型?
MD5是32位的,也就是说理论上是有限的,而世界上的数据是无限的,那会不会生成重复的MD5值?
ORM 框架能自动防止SQL注入攻击吗?
10 月 25 日韩国突发大面积断网,全国企业、普通家庭等均受影响,为何出现断网问题?将造成多大损失?
如何看待穿洛丽塔高考女生疑似被发现跳裸舞?
国家互联网信息办公室等七部门进驻滴滴开展网络安全审查,有哪些信息值得关注?
如果用VxWorks内核和Mips架构开发专用硬件防火墙是否性能上会比宏内核OS和CISC架构更强?
欧洲国家是否有墙?
你所在的行业或者兴趣都有那些有趣的段子?
各位自学网络安全的朋友们,你们的路线是什么?
数字签名有可能被伪造吗?
全面普及 HTTPS 有意义吗?
如何看待网络安全审查办公室对「滴滴出行」启动网络安全审查?
避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么?
360发布首款支持国密算法的浏览器对网络安全有哪些影响?
请教一个https安全问题?
为什么现在大部分密保都是靠手机号确认身份,运营商的SIM卡系统很难被入侵吗?
大家一般用什么工具测试HTTP,json接口?
为什么现在很多人对网络空间安全专业持劝退态度?
如何禁止学生启用防火墙防止学生退出电子教室?
HTTPS可以防止中间人篡改内容吗?
FBI 称「俄入侵乌克兰或引发对美乌两国的网络攻击」,释放了哪些信号?
假如将日志记录通过网闸单向导入隔离存储服务器,能提高黑客消除篡改日志痕迹的难度吗?
将NAS的SMB端口映射到公网上是否有安全问题?
如何看待国税总局发票查验平台网站的安全证书不被信任问题?
如何看待微软对「永恒之蓝」事件的处理?
http, keepalive用来复用连接,这样不就是串行的了么,浏览器会并行的多个请求发出,keepalive怎么体现作用?
客户端 POST 错误,服务端应该回 200 还是 400?