请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
一个文件分发服务器,要支持多个(几千个)请求下载,文件比较大,用java socket,ftp还是http支持?为啥黑客一个人就能黑进由一群顶级工程师保护的系统?
如何看待网络安全审查办公室对「滴滴出行」启动网络安全审查?
大学校方监控学生的上网记录妥当吗?是否侵犯学生隐私?学校通过什么技术手段监控,并且推送通报批评的消息?
如何看待黑客组织 Anonymous 声称将大规模攻击中国政府网站的事?
既然说 HTTP 是明文传输,为什么没听说哪个著名的网站因为采用 HTTP 协议而暴露了用户的密码?
数字签名有可能被伪造吗?
「18岁黑客窃取银行卡信息 涉案15亿元」从技术层面上来看是否可行?
元宇宙可能面临哪些网络安全问题?
零基础如何学习 Web 安全?
相关的话题
如何看待在5月12日爆发的勒索病毒事件中,某些媒体纷纷推荐360?有哪些速度快又好用的网盘值得推荐?
黑客为什么不攻击支付宝?
国家互联网应急中心称部分 APT 组织网络攻击工具长期潜伏我国,意味着什么?
如何评价小米在隐私安全上的贡献?
先用md5,再用sha1,这样密码会安全一点吗?
计算机语言是如何做到靠0和1就表达出这么多东西的?
计算机专业应该如何发展?
10 月 25 日韩国突发大面积断网,全国企业、普通家庭等均受影响,为何出现断网问题?将造成多大损失?
如何看待国税总局发票查验平台网站的安全证书不被信任问题?
作为渗透测试工程师有什么有趣的经历?
如何评价支付宝 9.0 关闭手势解锁功能?
Web 前端密码加密是否有意义?
外界对于黑客都存在哪些误解?
如何看待网易邮箱至今登录界面没有https?
既然有文件后缀名,为何还需要MIME类型?
东北重新焕发生机的时候会是我国富强之时吗?
如何看待国内一些互联网企业因为有墙而强大?
COOKIE和SESSION有什么区别?
ISP给的100M带宽到底是怎么算的?
黑客为什么不攻击淘宝?
如何看待有人「支付宝账户只有200余额仍被盗刷万元」的经历?
网络安全真的那么好吗?
自动驾驶车如何降低被黑客控制的风险?
东北重新焕发生机的时候会是我国富强之时吗?
SecureRandom的nextInt()继承自Random,为什么他就比Random安全?
有哪些网络安全上的事实,没有一定安全知识的人不会相信?
http, keepalive用来复用连接,这样不就是串行的了么,浏览器会并行的多个请求发出,keepalive怎么体现作用?
无线路由器被蹭网后,有被黑的风险吗?
不太理解预防csrf攻击中的“双提交cookie”是什么意思?