请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
不用 https 自己实现对 http请求的内容的 rsa 加密,这样足够安全吗?百度是如何获取用户搜索内容并确定用户电话号码并提供给第三方的?
现实中黑客可能攻入证券交易所吗?
在北上广深一线城市年薪二十、三十、四十万的信息安全人员的生活状态和从业历程是怎样的? ?
如何看待硬怼民警“我就被骗”的女子,一周后真被骗20余万跑去报警?诈骗为什么这么容易成功?
疑似被新浪微博官方盗号,如何收集证据起诉?
美国国安局对中国使用顶级网络武器证据曝光,其中有哪些细节值得关注?
SMTP的伪造发件人太过简单,一般收件服务商如何应对的?
中方近日密集发声,反驳多个西方国家和组织有关网络安全的错误涉华言论。这些人无端将矛头指向中国是何居心?
XSS 攻击时怎么绕过 htmlspecialchars 函数呢?
相关的话题
网银安全吗?工资卡开网银好吗?木马和病毒有何区别?
网络安全该从何入手?
谈谈机器学习在网络安全领域的局限性,以及是否乐观?
为什么网络上有关青少年的灰色内容层出不穷?背后是否存在产业链等利益因素?
如何看待特朗普宣布解雇网络安全局局长,称其发布的关于大选声明极不准确?
为什么即使世界最知名的软件程序,也无法阻止被人破解的命运?
世界互联网的网络结构是怎么样的?
国家互联网应急中心称部分 APT 组织网络攻击工具长期潜伏我国,意味着什么?
初学者对渗透测试的总结?
请教一个https安全问题?
避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么?
为什么即使世界最知名的软件程序,也无法阻止被人破解的命运?
不用 https 自己实现对 http请求的内容的 rsa 加密,这样足够安全吗?
如何评价黑客吴石?
媒体实测发现「微信或取消外链卡片式转发分享」,可能会带来哪些影响?
中央网信办将重点整治借热点事件等挑动网民对立,进行人肉搜索、辱骂攻击等网络暴力行为,哪些信息值得关注?
安全问题,一个标准的绑定修改邮件怎么写?
为什么电子邮件允许冒充发件人?
用 HTTP 数据加密和 HTTPS 有什么区别?
MD5是32位的,也就是说理论上是有限的,而世界上的数据是无限的,那会不会生成重复的MD5值?
百度云“您下载的内容包含违规信息”,有什么方法可以下载?
为什么连离我很远很远的服务器会很慢?
asp.net mvc FormsAuthenticationTicket 如何防御cookie胁持?
安全问题,一个标准的绑定修改邮件怎么写?
WebSocket 是什么原理?为什么可以实现持久连接?
深度学习在信息安全的应用有哪些可以关注的人或论文?
我能否自己设计一个编码方式,替代 MD5 用于哈希呢?
自动驾驶车如何降低被黑客控制的风险?
《网络安全审查办法》规定掌握超百万用户个人信息运营者赴国外上市必须先申报网络安全审查,透露了哪些信息?