请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
如何看待网络安全审查办公室对「滴滴出行」启动网络安全审查?先用md5,再用sha1,这样密码会安全一点吗?
初学者对渗透测试的总结?
HTTPS体系中若攻击者将自己公钥上传CA得到签名,并将两者一起用于篡改证书的中间人攻击会怎样?
MD5是32位的,也就是说理论上是有限的,而世界上的数据是无限的,那会不会生成重复的MD5值?
360发布首款支持国密算法的浏览器对网络安全有哪些影响?
近期中国互联网持续遭受境外网络攻击,境外组织控制中国境内计算机,对俄乌等国进行网络攻击,会有哪些影响?
若实行网络白名单会是怎样一种机制?
如何保证用户登录时提交密码已经加密?
如何评价百度杀毒软件正式退役,官网称「感谢一路有你」?
相关的话题
Windows安全策略里面有一个「登录之前需要按下CTRL+ALT+DEL」,这个策略有什么意义?如何用C语言和windows api实现一个基本的ssl协议?(参考资料已备齐)
Linux 有所谓「天生安全基因」吗,整体安全性设计是否更优秀?
网银的密码控件到底做了哪些安全保护工作?
为什么更安全的 HTTPS 协议没有在互联网上全面采用?
《网络安全审查办法》规定掌握超百万用户个人信息运营者赴国外上市必须先申报网络安全审查,透露了哪些信息?
大家一般用什么工具测试HTTP,json接口?
如何看待兼修网络安全和人工智能?
现在为什么没有黑客了?
如何评价支付宝官方对于此次用户账户被他人实名认证事件的解释?
如何通过事件查看开放公网远程桌面的电脑有没有被访问?
如何看待 CIA 利用瑞士的 Crypto AG 公司窃取 120 多个国家的情报?
Linux 有所谓「天生安全基因」吗,整体安全性设计是否更优秀?
你的初次渗透成功是怎么搞定的?
若实行网络白名单会是怎样一种机制?
你的初次渗透成功是怎么搞定的?
https加密通信能这样破解吗?
黑客为什么不攻击卫星?
病毒代码需要debug吗,测试的时候难道不会损坏本地设备吗?
媒体实测发现「微信或取消外链卡片式转发分享」,可能会带来哪些影响?
当年黑掉腾讯的「朽木事件」是指什么?
ActiveX 到底差在哪?
如何看待腾讯致歉 QQ 读取浏览器历史:为判断是否恶意登录,已更换技术?这会对用户信息安全带来隐患吗?
ISP给的100M带宽到底是怎么算的?
用 HTTP 数据加密和 HTTPS 有什么区别?
hook是钓子的意思,它和钓鱼网站有关系吗?
Windows安全策略里面有一个「登录之前需要按下CTRL+ALT+DEL」,这个策略有什么意义?
如何制作高质量的(破译用)字典?
用 HTTP 数据加密和 HTTPS 有什么区别?
拥有50亿条用户隐私信息的黑产团队被抓,京东某网络安全部员工是嫌犯之一,这些信息泄露可能造成哪些影响?