请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
网银安全吗?工资卡开网银好吗?(2018年)远距离传输大文件,10T左右文件,如何最快?
ActiveX 到底差在哪?
2015年6月30日 闰秒 为什么世界多一秒钟会有这么大影响?
在中国,黑客真的能侵入银行吗?
请教一个https安全问题?
你所在的行业或者兴趣都有那些有趣的段子?
如何评价百度杀毒软件正式退役,官网称「感谢一路有你」?
你的电脑被黑客黑过吗?
「杀毒软件之父」75 岁约翰·迈克菲死于西班牙监狱中,他做出了哪些贡献,如何评价他的一生?
相关的话题
XSS 攻击时怎么绕过 htmlspecialchars 函数呢?前后端分离项目,接口返回 200 但是里面返回 500 合理吗?
登录知乎时,账号密码是明文传送的,安全吗?
评估内网的web应用意义大吗?
如何评价奥卡姆剃刀、王思聪、周鸿祎及众资安界人士在微博上关于无线网络下盗取网银密码的舌战?
如何看待侯聚森在过去的一年中被人肉骚扰,这种人肉骚扰是否触犯刑律?普通人如何防止他人的人肉骚扰?
全面普及 HTTPS 有意义吗?
做网络安全服务工作考什么证最性价比?
欧洲国家是否有墙?
如何看待兼修网络安全和人工智能?
如何评价百度杀毒软件正式退役,官网称「感谢一路有你」?
6位PIN码/数字密码是否比传统字符密码更加安全?
威胁网络安全的因素有哪些?
为什么现在很多人对网络空间安全专业持劝退态度?
国家互联网应急中心称部分 APT 组织网络攻击工具长期潜伏我国,意味着什么?
WinPE 能破解 Windows 的密码,这样 Windows 就不安全吗?
https证书服务商和网站服务器所在国家相同时,https应对国家级别的监听/篡改是否无效?
软件测试和网络安全哪个好就业?
网络日记放在哪儿最安全?
有哪些鲜为人知的网络冷知识和技巧?
如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?
什么情况下用私钥加密公钥解密,什么情况下用公钥加密私钥解密?
如何评价「最大的安全公司之一 Norse Corp 濒临倒闭」?
百度云“您下载的内容包含违规信息”,有什么方法可以下载?
为何中国的网站普遍不愿意相信用户能把密码管理好?
你的初次渗透成功是怎么搞定的?
如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?
据各种情报综合分析,这两天知乎被谁攻击了?
现在网站越来越难渗透了,渗透测试这个方向还有前途吗?
黑客为什么不攻击支付宝?