Security 不需要为https加密数据?
我使用中间人代理监控来自Android手机的网络流量。作为这项工作的一部分,我在手机上安装了一个证书(由我的服务器签名),我可以看到所有应用程序以明文形式发送敏感信息,如密码Security 不需要为https加密数据?,security,ssl,https,cryptography,man-in-the-middle,Security,Ssl,Https,Cryptography,Man In The Middle,我使用中间人代理监控来自Android手机的网络流量。作为这项工作的一部分,我在手机上安装了一个证书(由我的服务器签名),我可以看到所有应用程序以明文形式发送敏感信息,如密码 我知道SSL协议负责建立安全通信,但这是否消除了加密数据的需要 这里有两个问题: 它是否在所有情况下都不需要加密数据?没有 在大多数情况下,它是否消除了加密数据的需要?对 为了理解这些答案,我们需要讨论一件重要的事情:密钥分发 您将如何向您的用户(提出请求的用户)获取密钥。如果您有可靠的侧通道,则可以在侧通道中发送密钥。这
我知道SSL协议负责建立安全通信,但这是否消除了加密数据的需要 这里有两个问题: 它是否在所有情况下都不需要加密数据?没有 在大多数情况下,它是否消除了加密数据的需要?对 为了理解这些答案,我们需要讨论一件重要的事情:密钥分发 您将如何向您的用户(提出请求的用户)获取密钥。如果您有可靠的侧通道,则可以在侧通道中发送密钥。这意味着,即使攻击者可以解密TLS流,通过TLS加密和发送的任何数据也无法解密 对于一般的网站来说,没有可靠的副频道。对于一般的网络服务,也没有一个(像sshd这样的实现只是尽最大努力实现“假设第一个连接是好的”) 如果您的数据非常重要,足以证明密钥的侧通道分发是合理的(最好是脱机分发),那么TLS中添加的加密可以保护您免受某些攻击向量的攻击
然而,问问自己,对于您的用例来说,它是否值得。所有的安全性都是可用性和简单性的折衷…在线数据是加密的。您正在使用ssl代理截取数据,基本上,因此是的,您可以看到任何内容。如果你关注新闻,这与今天的CNNIC黑名单或最近的联想Superfish惨败没有什么不同。这不是真正的安全威胁吗?如果有人设法安装了证书,那么我的所有数据都被泄露了?证书本身不起任何作用。只是一些数字。威胁在于使用的应用程序。