请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
关于keep-alive 这个问题?你的电脑被黑客黑过吗?
数据库预编译为何能防止SQL注入?
为什么有的程序员哪怕失业交不起房租也不愿意接触黑产?
将NAS的SMB端口映射到公网上是否有安全问题?
避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么?
课堂上传纸条如何防范中间人攻击?
黑客为什么可以做到无需知道源码的情况下找出系统漏洞?
什么是哈希洪水攻击(Hash-Flooding Attack)?
WIN7网络连接成功后,有个白框一闪而过,这方面的大神能帮忙看看,给个原因或可能有效的探索方向么?
相关的话题
360 作了哪些恶?如何制作高质量的(破译用)字典?
如何看待 2017 年 5 月 12 日中国大量高校及公共设备发生电脑中毒,勒索比特币的事件?
全面普及 HTTPS 有意义吗?
自动驾驶车如何降低被黑客控制的风险?
如何看待b站up主tom表哥硬刚诈骗团伙的行为?
(2018年)远距离传输大文件,10T左右文件,如何最快?
网络安全专业出国考研哪个国家比较好 什么学校比较好?
如何看待网易邮箱至今登录界面没有https?
世界互联网的网络结构是怎么样的?
网络安全该从何入手?
计算机语言是如何做到靠0和1就表达出这么多东西的?
FBI 称「俄入侵乌克兰或引发对美乌两国的网络攻击」,释放了哪些信号?
用 HTTP 数据加密和 HTTPS 有什么区别?
如何看待爱德华·斯诺登揭秘美国政府监听计划 PRISM 的行为?他的命运又将如何?
将NAS的SMB端口映射到公网上是否有安全问题?
如何禁止学生启用防火墙防止学生退出电子教室?
如何评价「最大的安全公司之一 Norse Corp 濒临倒闭」?
《网络安全审查办法》规定掌握超百万用户个人信息运营者赴国外上市必须先申报网络安全审查,透露了哪些信息?
如何评价小米在隐私安全上的贡献?
如何评价「QQ 安全中心」?
拥有50亿条用户隐私信息的黑产团队被抓,京东某网络安全部员工是嫌犯之一,这些信息泄露可能造成哪些影响?
如何看待0.5元可买到身份匹配的人脸数据?如何才能避免信息泄露?
如何看待云舒离开阿里巴巴?
军事战争中网络攻防主要有哪些打击手段?与地面战争会存在哪些结合?
黑客为什么不攻击支付宝?
如何评价支付宝 9.0 关闭手势解锁功能?
用 HTTP 数据加密和 HTTPS 有什么区别?
全面普及 HTTPS 有意义吗?
如何快速地想出一个很难猜但是很好记的包含数字字母和符号的密码?邮箱账号除外