请教一个https安全问题? 第1页
1
hawaii-61 网友的相关建议:
“客户端通过服务端的公钥对私钥加密”这句话就错了,私钥全程不参与传输,自然也不会被加密。客户端加密并发送的是用来握手的随机数。
服务器如何确认客户端是真实的客户端?答案是:双向认证。不仅客户端要验证服务器的证书,服务器同样要验证客户端的证书,彻底杜绝中间人攻击的可能。需要双向认证的场景在B/S架构中很罕见,多见于C/S架构,因为服务器需要预置客户端的证书。有不少APP都使用了这一技术防止被抓包。
而在传统的SSL单向认证中,黑客可能在其中充当中间人的角色,他可以欺骗服务器自己是客户端,但无法欺骗客户端自己是服务器,因为他没有服务器的私钥,不能解密客户端用公钥加密的随机数,也就无法和客户端完成握手。黑客可以伪造一份自签名证书给客户端,但由于黑客不是可信CA,客户端的浏览器将提示证书无效。
1
相关话题
各位自学网络安全的朋友们,你们的路线是什么?为什么下载的破解游戏经常会被报毒?
Web 前端密码加密是否有意义?
HTTP2中SPDY的中间帧可不可以类比为OSI7层中的会话层?
如何快速地想出一个很难猜但是很好记的包含数字字母和符号的密码?邮箱账号除外
将NAS的SMB端口映射到公网上是否有安全问题?
Windows 系统关于用户和权限的逻辑是怎样的?
如何看待国内一些互联网企业因为有墙而强大?
如何评价奥卡姆剃刀、王思聪、周鸿祎及众资安界人士在微博上关于无线网络下盗取网银密码的舌战?
情色网站把服务器放在香港或者美国,警察除了封域名ip,能抓他们吗?
相关的话题
6位PIN码/数字密码是否比传统字符密码更加安全?欧洲国家是否有墙?
评估内网的web应用意义大吗?
有没有针对word和wps的电脑病毒?
http是应用层,ip是网络层,那么http请求头部的client ip是怎么获取到的呢?
黑客为什么不攻击支付宝?
想学网络安全,推荐自学还是系统学啊?
如何制作高质量的(破译用)字典?
想学web渗透,没有语言基础,没有网络基础,怎么才能入门?
私人网站能看到用户的密码吗?
FBI 称「俄入侵乌克兰或引发对美乌两国的网络攻击」,释放了哪些信号?
网络安全是不是包含了很多板块?
个人信息的泄露在今天已经严重到了什么地步?对普通人的生活有多大的影响?
http, keepalive用来复用连接,这样不就是串行的了么,浏览器会并行的多个请求发出,keepalive怎么体现作用?
ISP给的100M带宽到底是怎么算的?
全面普及 HTTPS 有意义吗?
如何用C语言和windows api实现一个基本的ssl协议?(参考资料已备齐)
作为渗透测试工程师有什么有趣的经历?
这种山寨域名欺骗用户的HTTPS中间人思路是可行的吗?
有没有针对word和wps的电脑病毒?
如何评价黑客吴石?
互联网平台能否直接查阅、复制和披露用户的个人信息?
国家互联网应急中心称部分 APT 组织网络攻击工具长期潜伏我国,意味着什么?
如何看待中美两国网络防御技术对比?
国内网络安全行业人才何时饱和,这个行业还有几年的热度?
如何看待 Mozilla 决定停止信任沃通 (WoSign) 和 StartCom 颁发的证书?
做网络安全服务工作考什么证最性价比?
ORM 框架能自动防止SQL注入攻击吗?
登录知乎时,账号密码是明文传送的,安全吗?
如何看待 2017 年 5 月 12 日中国大量高校及公共设备发生电脑中毒,勒索比特币的事件?