使用https进行登录,但http中的所有内容都有点毫无意义吗? 你已经使用HTTPS执行了登录,以防止中间人攻击,并确保你的密码不在明文中发送。好电话。但是许多站点在会话的剩余时间切换回http 一旦你把所有东西都交换清楚了,中间的人不会再开始劫持你的会话了吗?好吧,他们没有你的密码,但他们不需要!只要你登录,中间的人就可以劫持你的会话并发送他们想要的任何请求。他们不能吗
采取了哪些措施来防止这种情况?或者这不是一个问题,因为我忽略了什么?或者,这是一个可接受的风险吗? < P>如果您的HTTPS握手包括密钥交换,中间人可以从理论上防止任何危害,通过将安全考虑从传输层转移到应用层。使用https进行登录,但http中的所有内容都有点毫无意义吗? 你已经使用HTTPS执行了登录,以防止中间人攻击,并确保你的密码不在明文中发送。好电话。但是许多站点在会话的剩余时间切换回http 一旦你把所有东西都交换清楚了,中间的人不会再开始劫持你的会话了吗?好吧,他们没有你的密码,但他们不需要!只要你登录,中间的人就可以劫持你的会话并发送他们想要的任何请求。他们不能吗,http,https,security,ssl,Http,Https,Security,Ssl,采取了哪些措施来防止这种情况?或者这不是一个问题,因为我忽略了什么?或者,这是一个可接受的风险吗? < P>如果您的HTTPS握手包括密钥交换,中间人可以从理论上防止任何危害,通过将安全考虑从传输层转移到应用层。 例如,各方可以包括消息序列号和使用共享密钥的数字签名。这将防止重播消息、篡改现有消息和创建虚假消息。您可以强制所有请求来自进行身份验证的相同IP地址。我想这会让劫持变得更加困难。相当多的网站会这样做,或者有选择。这取决于你所说的无意义。:)在标准设置中,您通过HTTPS创建会话,然后恢
例如,各方可以包括消息序列号和使用共享密钥的数字签名。这将防止重播消息、篡改现有消息和创建虚假消息。您可以强制所有请求来自进行身份验证的相同IP地址。我想这会让劫持变得更加困难。相当多的网站会这样做,或者有选择。这取决于你所说的无意义。:)在标准设置中,您通过HTTPS创建会话,然后恢复到HTTP,但将会话cookie(比如)与您的请求一起传递,理论上的“咖啡店里的家伙”实际上可以看到您的数据和/或代表您采取行动,这是正确的
传统上,使用所有SSL(HTTPS)的缺点是,从服务器端计算的角度来看,它的成本很高,并且会导致客户端的计算。(网站需要美元和服务器,页面加载速度较慢。) 因此,在clear中运行大多数站点传统上被认为是大多数web使用的“可接受风险” 您面临的两个风险是让您的数据对其他人可见,以及让其他人能够扮演您的角色(通过使用您的cookies,他们可以窃取您的cookies)。在设计一个新网站时,你应该考虑这两方面的相对风险。请注意,金融机构将始终通过HTTPS为其所有页面提供服务,因为风险是不可接受的——每个页面都包含敏感数据,甚至窃听也是不好的。Gmail也提供了一个选择加入选项来获取所有会话的HTTPS。(不过,Facebook没有,雅虎邮件也没有) 您可能已经注意到,许多主要通过HTTP运行的站点将通过密码重新验证来保护关键设置更改。这就是他们这么做的原因之一:即使咖啡店里的人可以阅读你在Facebook上的帖子,他也不能在不知道你当前密码的情况下更改你的密码并将你锁在门外
从理论上讲,我的猜测是,随着时间的推移,越来越多的具有私人用户数据的服务将被迫迁移到(或提供)随着人们意识到风险以及公共Wifi网络使用的增加,所有的HTTPS都会随之增加。那些对安全性漠不关心以至于不一致地使用SSL的站点可能在多个方面不安全。例如,他们可能在未加密的页面上交付登录表单本身。攻击者只需将https表单post目的地更改为未加密的on,即可获得您的密码 一旦你交换了所有的东西 清澈不能中间的人 再次开始劫持会话 对 这就像锁上没有外墙的房子的前门 即使咖啡店里的人可以 他说,阅读你在Facebook上发布的帖子 无法更改您的密码和锁 你不知道你现在的情况就出去了 密码 他能接替你的任务吗?他能改变你的电子邮件地址吗?他可以请求密码重置电子邮件吗?他能让你在公共论坛上说些愚蠢的话吗?可能吧 他当然可以用http替换每个页面上的每个https链接。谷歌搜索“SSLStrip”。更有可能的是,受害者再也不会出现在https页面上了。因此,当受害者单击“更改我的密码”链接时,攻击者将以明文形式获得旧(和新)密码
- 沼泽地