使用http协议存在的安全问题
1、场景一只做对称加密: 通过QQ微信等提前商量的盐 直接由客户端保管盐,盐直接存在浏览器中不安全。容易泄露。然后伪造信息
2、场景一只做对称加密: 客户端和服务器协商对称加密盐的过程 被代理服务器拦截就获取到了。
3、场景二使用非对称性加密:客户端请求服务器,服务器响应一个公钥给客户端,客户端通过公钥加密 传递给服务器。 这个过程中间代理服务器可以通过伪造公钥私钥 和你进行交互 代理服务器自己和服务器协商的公钥私钥 实现和服务器交互,这样就被篡改和泄露了。
[图片上传中...(1654478220(1).jpg-245b6b-1654483502582-0)]
18112313-af3616356dc6d395.png
https协议真的安全吗?
1、一般用户都是通过 taobao.com 或者jd.com进行访问 然后对应的服务器进行302重定向 到www.taobao.com 然后www.taobao.com在307重新向到 https://www.taobao.com这个过程中 如果中间代理服务器伪造一个类似的页面 不然你进行重定向 这个时候就不安全了。
2、CA域名商有多个 相同的域名可以再多个域名商那边都能注册 这样就能伪造 一样的域名地址 然后中间代理服务器用这个CA生成自己的公钥私钥 和客户端进行4次握手 伪造证书 也会泄露(不过这种情况会有保险 除非使用的是免费的证书)
有疑问请留言!!
