请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
程序员如何提高安全的编码能力?在有关部门的要求下,知乎官方会依法取匿吗?
谈谈机器学习在网络安全领域的局限性,以及是否乐观?
如果用VxWorks内核和Mips架构开发专用硬件防火墙是否性能上会比宏内核OS和CISC架构更强?
启明星辰是家什么公司?
安全领域第三方资源的漏洞和基础软件漏洞是否比使用框架的产品业务代码的漏洞更多,且更容易挖掘和利用?
为什么 2015 年底各大网站都纷纷用起了 HTTPS?
为什么现在大部分密保都是靠手机号确认身份,运营商的SIM卡系统很难被入侵吗?
各位走过路过大佬帮忙看一下是这本书是不是太无聊了?能不能提一点意见ಥ_ಥ?
学习网络安全并想参赛只靠自学行吗?
相关的话题
接触暗网会有怎样的后果?为何自从熊猫烧香以后中国再也没有爆发过类似于此的大规模网络病毒事件?
「京东金融 app 疑似自行获取用户私人图片」是真的吗?可能有哪些风险?
WinPE 能破解 Windows 的密码,这样 Windows 就不安全吗?
世界互联网的网络结构是怎么样的?
公司是否能够亦或是否有权截获员工在公司电脑使用https访问网站的内容?如何实现?
互联网平台推出的「青少年模式」是否有效?还有哪些改进空间?
用 HTTP 数据加密和 HTTPS 有什么区别?
如何看待印度APT黑客组织攻击我国医疗机构?
如何看待中国企业“霸榜”全球隐私技术专利排行榜,目前国内的隐私计算做的怎么样?
如何评价支付宝 Android 版隐私门?
如何看待“Sunburst”(炽日行动)“迄今为止对美国造成的最严重的网络攻击”?
乌云 2014 年 02 月爆出的支付宝登录漏洞有何危害,余额宝安全吗?
各位走过路过大佬帮忙看一下是这本书是不是太无聊了?能不能提一点意见ಥ_ಥ?
元宇宙可能面临哪些网络安全问题?
零基础如何学习 Web 安全?
HTTPS可以防止中间人篡改内容吗?
如何禁止学生启用防火墙防止学生退出电子教室?
关于keep-alive 这个问题?
如何禁止学生启用防火墙防止学生退出电子教室?
有哪些鲜为人知的网络冷知识和技巧?
军事战争中网络攻防主要有哪些打击手段?与地面战争会存在哪些结合?
如何看待 2017 年 5 月 12 日爆发在各高校的电脑勒索比特币的病毒?
如何反驳“代码混淆只是降低了可读性,安全性并没有得到实质提升”的观点?
WebSocket 是什么原理?为什么可以实现持久连接?
如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?
数据库预编译为何能防止SQL注入?
我能否自己设计一个编码方式,替代 MD5 用于哈希呢?
WIN7网络连接成功后,有个白框一闪而过,这方面的大神能帮忙看看,给个原因或可能有效的探索方向么?
现在为什么没有黑客了?