如何執行evasdopping？

Question

大家建議爲我的網站購買SSL證書，以防止許多安全問題，主要是竊聽。我閱讀有關竊聽的文章，但竊聽如何破解我的網站密碼？

是否嚴格要求SSL來保護SSL？或者有沒有其他方法可以做到這一點？

Answer 1

是的！ SSL是嚴格要求的。如果您通過網絡發送純文本，黑客可以看到您發送的內容。通過網絡加密的文本會給你的散列密碼帶來危險。所以，你需要通過SSL發送信息。

Answer 2

在SSL上下文中竊聽通常意味着一名男子在黑客僞裝成您的網站的中間攻擊中收集信息，同時傳遞給您的網站和用戶。

其他選項是：

• 網絡流量嗅探器像Wireshark的
• 站在作爲路由器和監聽通信

有可能更多，但是這將是一個簡單的答案

Answer 3

你有沒有讀過關於FireSheep的消息？

http://codebutler.com/firesheep

FireSheep很容易讓任何喬蠢貨竊取私人數據時，不實施SSL。看看這些新聞報道：

http://robert.accettura.com/blog/2010/10/26/firesheep-demonstrates-the-need-for-ssl/

http://blogs.computerworld.com/17254/i_hijacked_a_facebook_account_with_firesheep

http://www.geek.com/articles/news/firesheep-firefox-add-on-allows-simple-http-session-hijacking-20101025/

要點：如果你想保護你的用戶的數據使用SSL。

Answer 4

密碼學和安全性是複雜的主題，有許多微妙的挑戰，所以如果你覺得不舒服並且熟悉這些問題，我應該警告你不要部署自己的安全關鍵應用程序。

這就是說，讓我解決的加密和認證的問題，因爲SSL提供：加密防止第三方學習您的談話內容。在您的上下文中，「第三方」將來自同一網吧中其他人的任何人與您用戶和服務器之間的路線中的任何人。您應該基本上將所有未加密的通信公佈在牆上。

但單獨加密並不能保證您與之通話的人實際上是預期的合作伙伴。攻擊者可以相對容易地將自己鏈接到對話中，並假裝用戶成爲服務器，並假裝他是用戶的服務器，從而讀取所有內容，並根據需要對每個通道進行加密和解密。爲了避免這種中間人攻擊，認證是至關重要的。這可以通過使用證書在一個方向上實現。

也就是說，如果你的服務器有一個證書，那麼用戶可以確定與正確的服務器通話。（客戶端通常不會獲得證書，因爲該方向的認證在流程中較高。）但是，這一切歸結爲您的用戶是否知道您的證書。原則上，您必須「通過可靠的方式」向用戶提供服務器證書，但這樣做沒有通用的配方。 （電話會很好。）相反，可以由用戶信任由上級和上級權威遞歸信任的證書來調用「信任等級」。由於大多數瀏覽器都提供了這樣的可信根權限的集合，因此購買的帶有其簽名的證書將使您自己的證書對用戶顯示爲「可信」。

實際上，問題在於用戶是否會關心證書的可信度。在理想的情況下，他們會拒絕所有不受信任的人，並且您將被迫獲得簽名證書。但許多當代合法機構確實使用未簽名的證書，因此許多用戶完全接受了忽略此問題的培訓。

也就是說，你可能會逃脫一個未簽名的證書，但通過要求用戶信任一個不受信任的證書，你正在訓練人們做錯誤的事情，這可能最終適得其反。你的來電。

Answer 5

黑客總是可以使用sslstrip從任何網頁，銀行，paypale，facebook等去除ssl。在那裏可以看到任何在計劃文本中發現的東西........ Firesheep是一個很好的工具，即使是盲人也可以輕鬆地使用它。但那是更多的sesion劫持。這是通過竊取cookie或製作自己的cookie來完成的。您的網站在登錄後只使用ssl登錄，然後刪除加密並使用cookie中的會話標識號。偷你所愛的餅乾，作爲你偷走它的人。除了使用firesheep之外，Firefox還有一個很好的補充，可以製作cookie。