请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
这种山寨域名欺骗用户的HTTPS中间人思路是可行的吗?谈谈机器学习在网络安全领域的局限性,以及是否乐观?
关于互联网安全,你有什么看法?
如何看待腾讯致歉 QQ 读取浏览器历史:为判断是否恶意登录,已更换技术?这会对用户信息安全带来隐患吗?
什么情况下用私钥加密公钥解密,什么情况下用公钥加密私钥解密?
什么是哈希洪水攻击(Hash-Flooding Attack)?
网络日记放在哪儿最安全?
有哪些速度快又好用的网盘值得推荐?
互联网平台推出的「青少年模式」是否有效?还有哪些改进空间?
用什么方式记密码最好?
相关的话题
HTTPS可以防止中间人篡改内容吗?如何看待中国沃通wosign偷偷收购自己的根CA startcom并且签发github.com的证书?
养成哪些上网习惯可以避免泄露重要的个人隐私?
如何评价百度杀毒软件正式退役,官网称「感谢一路有你」?
是否无法写一段代码将这段代码自己打印出来?
如何看待国家网信办拟规定「掌握超过 100 万用户个人信息的运营者赴国外上市须审查」?
360发布首款支持国密算法的浏览器对网络安全有哪些影响?
欧洲国家是否有墙?
暴露自己IP地址有危险吗?
如何防范中间人攻击(man-in-the-middle attack)?
东北重新焕发生机的时候会是我国富强之时吗?
全面普及 HTTPS 有意义吗?
你所在的行业或者兴趣都有那些有趣的段子?
10 月 25 日韩国突发大面积断网,全国企业、普通家庭等均受影响,为何出现断网问题?将造成多大损失?
如何看待大量国产输入法被下架?
用 HTTP 数据加密和 HTTPS 有什么区别?
http, keepalive用来复用连接,这样不就是串行的了么,浏览器会并行的多个请求发出,keepalive怎么体现作用?
电脑需不需要有杀毒软件呢?
初学者对渗透测试的总结?
如何看待中国企业“霸榜”全球隐私技术专利排行榜,目前国内的隐私计算做的怎么样?
为什么现在很多人对网络空间安全专业持劝退态度?
为什么现在很多人对网络空间安全专业持劝退态度?
信用卡管理 Apps 通过邮件读取账单,为什么会有这么过分的设计?
为什么公安、新闻光强调网络诈骗要预防,真正解决的却寥寥无几?
为什么机器学习解决网络安全问题总是失败?
asp.net mvc FormsAuthenticationTicket 如何防御cookie胁持?
军事战争中网络攻防主要有哪些打击手段?与地面战争会存在哪些结合?
什么是哈希洪水攻击(Hash-Flooding Attack)?
(2018年)远距离传输大文件,10T左右文件,如何最快?
微信朋友圈能分享有颜色文字算是bug吗?