请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
斯诺登是卖国贼吗?谈谈机器学习在网络安全领域的局限性,以及是否乐观?
如何看待百度于2017年2月28日晚疑似停止服务?
Windows 系统关于用户和权限的逻辑是怎样的?
如何看待腾讯致歉 QQ 读取浏览器历史:为判断是否恶意登录,已更换技术?这会对用户信息安全带来隐患吗?
实现一个http服务器需要怎样进行?需要哪些知识呢?
RSA的公钥和私钥到底哪个才是用来加密和哪个用来解密?
http是应用层,ip是网络层,那么http请求头部的client ip是怎么获取到的呢?
黑客为什么不攻击淘宝?
军事战争中网络攻防主要有哪些打击手段?与地面战争会存在哪些结合?
相关的话题
如何看待国家网信办拟规定「掌握超过 100 万用户个人信息的运营者赴国外上市须审查」?xss到底是怎么攻击的?
关于keep-alive 这个问题?
如何禁止学生启用防火墙防止学生退出电子教室?
给我女神发消息,隔壁的二狗在同一 Wi-Fi 下,能收到我的帧吗?
媒体实测发现「微信或取消外链卡片式转发分享」,可能会带来哪些影响?
如何看待硬怼民警“我就被骗”的女子,一周后真被骗20余万跑去报警?诈骗为什么这么容易成功?
目前黑客的社会工程学攻击到达了什么程度?如何应对社工攻击?
如何看待国税总局发票查验平台网站的安全证书不被信任问题?
如何看待 2017 年 5 月 12 日爆发在各高校的电脑勒索比特币的病毒?
FBI 称「俄入侵乌克兰或引发对美乌两国的网络攻击」,释放了哪些信号?
如何看待在5月12日爆发的勒索病毒事件中,某些媒体纷纷推荐360?
6位PIN码/数字密码是否比传统字符密码更加安全?
为什么现在大部分密保都是靠手机号确认身份,运营商的SIM卡系统很难被入侵吗?
如何看待网络安全审查办公室对「滴滴出行」启动网络安全审查?
请教一个https安全问题?
SecureRandom的nextInt()继承自Random,为什么他就比Random安全?
你的初次渗透成功是怎么搞定的?
近期中国互联网持续遭受境外网络攻击,境外组织控制中国境内计算机,对俄乌等国进行网络攻击,会有哪些影响?
360发布首款支持国密算法的浏览器对网络安全有哪些影响?
重要信息发到了一个错误的邮箱里,如何挽救?
随机确定密文的加密方式,密码有办法被破解吗?
不用 https 自己实现对 http请求的内容的 rsa 加密,这样足够安全吗?
拥有50亿条用户隐私信息的黑产团队被抓,京东某网络安全部员工是嫌犯之一,这些信息泄露可能造成哪些影响?
用什么方式记密码最好?
疑似被新浪微博官方盗号,如何收集证据起诉?
为何自从熊猫烧香以后中国再也没有爆发过类似于此的大规模网络病毒事件?
既然有文件后缀名,为何还需要MIME类型?
FBI 称「俄入侵乌克兰或引发对美乌两国的网络攻击」,释放了哪些信号?
如何快速地想出一个很难猜但是很好记的包含数字字母和符号的密码?邮箱账号除外