请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
如何看待ACCN经常性的攻击网络公司进行敲诈勒索并且没有得到治理的现象?有没有针对word和wps的电脑病毒?
是否无法写一段代码将这段代码自己打印出来?
如何看待在5月12日爆发的勒索病毒事件中,某些媒体纷纷推荐360?
如何看待黑客组织 Anonymous 声称将大规模攻击中国政府网站的事?
如何看待小米等联合声明:呼吁运营商严格打击流量劫持?
为什么现在很多人对网络空间安全专业持劝退态度?
用 HTTP 数据加密和 HTTPS 有什么区别?
普京签署总统令「禁止国家重要基础设施部门使用外国软件」,如何评价这一做法?
FBI 称「俄入侵乌克兰或引发对美乌两国的网络攻击」,释放了哪些信号?
相关的话题
这种山寨域名欺骗用户的HTTPS中间人思路是可行的吗?AI在网络安全领域(尤其是威胁检测领域),有什么好的应用场景?
如何看待小米等联合声明:呼吁运营商严格打击流量劫持?
SolarWinds软件被黑客入侵,其目标和影响有哪些?
xss到底是怎么攻击的?
登录知乎时,账号密码是明文传送的,安全吗?
不用 https 自己实现对 http请求的内容的 rsa 加密,这样足够安全吗?
如何看待ACCN经常性的攻击网络公司进行敲诈勒索并且没有得到治理的现象?
为什么下载的破解游戏经常会被报毒?
不管黑客用了多少跳板,最终是不是可以通过网络运营商找出真实 IP?
为什么连离我很远很远的服务器会很慢?
国内网络安全行业人才何时饱和,这个行业还有几年的热度?
服务器保存用户密码的方式都有哪些?
SecureRandom的nextInt()继承自Random,为什么他就比Random安全?
如何评价黑客吴石?
零基础如何学习 Web 安全?
客户端 POST 错误,服务端应该回 200 还是 400?
斯诺登是卖国贼吗?
先用md5,再用sha1,这样密码会安全一点吗?
黑客为什么不攻击支付宝?
《网络安全审查办法》规定掌握超百万用户个人信息运营者赴国外上市必须先申报网络安全审查,透露了哪些信息?
http, keepalive用来复用连接,这样不就是串行的了么,浏览器会并行的多个请求发出,keepalive怎么体现作用?
机器学习在Web攻击方向有什么建树吗?
根证书是什么年代的技术?铁道部可以有其他简化流程同时又安全的方法来代替吗?
养成哪些上网习惯可以避免泄露重要的个人隐私?
自动驾驶车如何降低被黑客控制的风险?
ActiveX 到底差在哪?
在北上广深一线城市年薪二十、三十、四十万的信息安全人员的生活状态和从业历程是怎样的? ?
安全领域第三方资源的漏洞和基础软件漏洞是否比使用框架的产品业务代码的漏洞更多,且更容易挖掘和利用?
不用 https 自己实现对 http请求的内容的 rsa 加密,这样足够安全吗?