Security 在web应用程序中,SRP是SSL/TLS(服务器证书)的安全替代方案吗?
Meteor使用(SRP)对用户进行身份验证。Meteor文档没有进一步声明提供的安全级别,但我想知道SRP是否可以在不需要SSL/TLS的情况下提供安全性?SRP上的维基百科页面说明: 。。。窃听者或中间人不能获得足够的信息。 信息,以便能够暴力猜测密码,而无需进一步 与各方就每个猜测进行互动 我承认我对安全性知之甚少,但我找不到任何关于其使用的建议 非常感谢SRP仅用于交换密码。更准确地说,这纯粹是为了提供通信保证的双方都拥有相同的共享秘密,而不允许窃听者或中间人猜测共享秘密。这就是它的全部功能:双向身份验证,因此,如果/当(例如)我登录到服务器时,我知道该服务器确实是我想要登录的服务器,并且它知道我是一个密码正确的用户Security 在web应用程序中,SRP是SSL/TLS(服务器证书)的安全替代方案吗?,security,ssl,meteor,Security,Ssl,Meteor,Meteor使用(SRP)对用户进行身份验证。Meteor文档没有进一步声明提供的安全级别,但我想知道SRP是否可以在不需要SSL/TLS的情况下提供安全性?SRP上的维基百科页面说明: 。。。窃听者或中间人不能获得足够的信息。 信息,以便能够暴力猜测密码,而无需进一步 与各方就每个猜测进行互动 我承认我对安全性知之甚少,但我找不到任何关于其使用的建议 非常感谢SRP仅用于交换密码。更准确地说,这纯粹是为了提供通信保证的双方都拥有相同的共享秘密,而不允许窃听者或中间人猜测共享秘密。这就是它的全部
但是,它甚至不尝试在双方之间创建加密连接,如SSL/TLS。虽然有人在监听时无法获得足够的密码信息来登录到我的位置(或模拟其他人登录的服务器),但它不会(单独)加密进一步的通信——除非您自己做的不仅仅是SRP,其他任何人仍然可以读取通过连接传递的所有数据。我知道,我在这里的回答有点晚,但我决定补充一些说明。正如Jerry Coffin所说,SRP用于密码交换,证明双方都拥有一些共享的秘密,并且它本身不提供任何加密,但在握手过程中,双方生成相同的密钥,这些密钥稍后可用于其他一些算法的加密/解密,即AES-256。 但是如果你决定使用这种认证方法,你应该考虑这个:
天王星将与你同在!;) 为了补充Jerry Coffin的答案:SRP由TLS规范和一些TLS引擎支持。也就是说,如果你不想要证书,你可以使用TLS和SRP。是的,但它创建了一个共享的秘密,这是eves滴管所不知道的,更重要的是,钓鱼者也不知道的。这个秘密可以用来加密链接。这就是说,TLS可以对指向某人的链接进行加密,而你只是不知道你在和谁说话(假设没有最终用户可以验证URL在实践中是正确的)。