https或者ssl安全吗?是的,HTTP协议是建立在TCP之上的。TCP保证数据将被传递,或者不可能传递(目标无法到达,等等)。您打开一个TCP连接并通过它发送HTTP消息。
但是TCP不保证任何级别的安全。因此,在TCP和HTTP之间放置了一个名为SSL的中间层,您就得到了所谓的HTTPS。这种工作方式称为隧道--将数据转储到(SSL)隧道的一端,然后在另一端收集数据。SSL获取HTTP消息,加密它们,通过TCP发送它们,并在另一端再次解密它们。加密保护您免受窃听和透明的MITM攻击(更改消息)。
但是SSL不仅提供加密,还提供身份验证。服务器必须具有由知名证书颁发机构(CA)签名的证书,以证明其身份。如果没有身份验证,加密就毫无用处,因为MITM攻击仍然是可能的。攻击者可以欺骗您,让您认为他就是您要连接到的服务器。与魔鬼私聊不是你想要的,你想要验证你正在连接的服务器确实是你想要连接的服务器。身份验证保护您免受MITM的攻击。
那么https或者ssl的缺点或者弱点在哪里呢?
安全连接的端点。传输可能是安全的,但服务器本身呢?还是客户?他们可能不会。
不使用HTTPS。用户可以通过各种方式被诱骗不使用该方案。
不可信的CAS。它们破坏了身份验证部分,从而允许MITM攻击。
弱加密机制。密码技术以两种方式老化:在其设计中可能会发现严重的缺陷,导致比暴力攻击效率高得多的攻击;或者由于摩尔定律,其参数和处理能力的增加可能允许可行的暴力攻击。
方案的实施。如果指定A并实现B,A的属性可能不适用于B。
