请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
威胁网络安全的因素有哪些?如何评价「QQ 安全中心」?
如何保证用户登录时提交密码已经加密?
既然说 HTTP 是明文传输,为什么没听说哪个著名的网站因为采用 HTTP 协议而暴露了用户的密码?
Gmail不允许异地登陆真的是为了保护用户安全吗?
MD5是32位的,也就是说理论上是有限的,而世界上的数据是无限的,那会不会生成重复的MD5值?
零基础学习网络安全这一块,请问有哪些相关资料可以推荐一下?
如何制作高质量的(破译用)字典?
如何评价支付宝 Android 版隐私门?
如何看待QQ邮箱翻译出他人的快递通知?
相关的话题
如何看待爱德华·斯诺登揭秘美国政府监听计划 PRISM 的行为?他的命运又将如何?360发布首款支持国密算法的浏览器对网络安全有哪些影响?
乌云 2014 年 02 月爆出的支付宝登录漏洞有何危害,余额宝安全吗?
如何看待 HTTP/3 ?
如何保证用户登录时提交密码已经加密?
如何评价黑客吴石?
如何看待「护苗 2015」行动?
为啥黑客一个人就能黑进由一群顶级工程师保护的系统?
市售的『USB 键盘记录器』可以记录和窃取账号密码,是什么原理?
为什么整个127.*网段都被拿来当做环回地址了?
客户端 POST 错误,服务端应该回 200 还是 400?
登录知乎时,账号密码是明文传送的,安全吗?
电脑病毒能破坏硬件吗?
请教一个https安全问题?
黑客为什么不攻击支付宝?
全球最大肉食品加工商遭网络攻击关停,白宫称:黑客可能来自俄罗斯,事实可能是怎么样的?
如何看待 2017 年 5 月 12 日中国大量高校及公共设备发生电脑中毒,勒索比特币的事件?
想学网络安全,有没有良心机构推荐?
如何保证用户登录时提交密码已经加密?
用 HTTP 数据加密和 HTTPS 有什么区别?
在浏览器直接输入url 访问是get还是post?
为什么有的程序员哪怕失业交不起房租也不愿意接触黑产?
避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么?
目前黑客的社会工程学攻击到达了什么程度?如何应对社工攻击?
如何看待国税总局发票查验平台网站的安全证书不被信任问题?
数据库预编译为何能防止SQL注入?
为什么在 HTTP 协议中,使用的是 Windows 换行方式而不是 UNIX 换行方式?
军事战争中网络攻防主要有哪些打击手段?与地面战争会存在哪些结合?
如何评价王江民老师?
避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么?