0
當我們通過SSL傳輸數據時,我們確信這些數據不會被操縱或讀取。但我看到一些程序安裝在客戶端上,並且它們可以打開SSL數據包並顯示它們。因此,用戶會注意到我們正在發送的內容以及哪個端點。用戶然後可以重複請求,然後可能會導致一些問題。如果使用SSL,我們應該自己加密數據嗎?
那麼我們應該自己加密一些數據來強化這個過程還是不這樣做?我們可以依靠SSL來確保安全,還是應該添加一些糖?
A
回答
-1
的OpenSSL給出兩種形式的安全:通過你說給你所期望的服務器第三方擔保
- 認證。
- 加密保證您在雙方(即客戶端和服務器)之間傳輸的數據可以(理想情況下)不被解密和理解。
如果您可以看到客戶端使用數據包分析器發送的內容(例如tcpdump或wireshark),那麼這可能意味着您的客戶端不會發送加密數據包,也不使用SSL。
如果你已經安裝的OpenSSL,你可以使用下面的命令,同時跟蹤數據包測試服務器:
的OpenSSL的s_client.First -connect my.server.com:443
注意,我認爲SSL連接在端口443(https)上建立。
然後,您可以通過在命令行中輸入數據並將其發送到服務器,並且應該對其進行加密。如果您使用的是Web服務器,則可以輸入GET命令,並返回網頁。當然,接收/發送的數據在終端上被解密,但它應該在通過wireshark/tcpdump觀察到的數據包中被加密。
+0
我確定我通過https連接,但是一些程序,如Fiddler,在Android上的數據包捕獲......他們在您的設備上安裝證書,然後啓用打開https數據。不只是我的主機,但對於大多數使用https的網站,我可以看到從我的設備發送的數據! – BlackBrain
+0
* SSL *提供*三種安全形式。 – EJP
相關問題
- 1. 如果我可以自己開發,我應該使用CMS嗎?
- 2. 當我們應該使用SignalR自己託管,當我們不應該?
- 3. hmac消息加密,但使用我們自己的密鑰
- 4. 如何在iOS 5中解密我自己的iMessage SSL應用程序數據?
- 5. 如果我要自己釋放內存,我應該使用ALLOCA_N嗎?
- 6. 如果我們不使用VS,我們應該使用MS Team Foundation Server嗎?
- 7. 我應該在庫調用中使用我自己的typedefs嗎?
- 8. 我應該在加密CloudSQL數據庫中的數據嗎?
- 9. 我們自己的代碼應該訂閱PropertyChanged嗎?
- 10. 如果你使用數據庫來存儲$ _SESSION和session_set_save_handler,你應該加密嗎?
- 11. MongoDB應該創建我自己的ID密鑰列嗎?
- 12. Sitecore首次發佈數據,我應該自己創建嗎?
- 13. 我應該使用std :: vector +我自己的size變量嗎?
- 14. 可以/我應該使用ConcurrentMap和我自己的緩存嗎?
- 15. 我應該使用curl來消費我自己的api嗎?
- 16. 如果我們使用自己的身份驗證,我們可以爲Firebase數據庫提供我們自己的uid嗎?
- 17. 我應該在我的數據庫中加密OpenID嗎?
- 18. 我們應該使用我們自己的工作單位在Nhibernate ISession頂部
- 19. 如果我們要訪問網站,我們不應該使用微格式嗎?
- 20. 便攜式(PHPass)密碼散列。我應該使用它們嗎?
- 21. 我們應該直接使用ScalaSignature嗎?
- 22. AS3類 - 我應該使用它們嗎?
- 23. 我們應該使用Twitter Bootstrap嗎?
- 24. 我們應該使用insertRow()和acceptChanges()嗎?
- 25. 我們應該使用jms嗎?
- 26. 我應該在自己的非LINQ代碼中使用DuplicateKeyException嗎?
- 27. 我應該使用核心數據嗎?
- 28. 我應該在iPhone遊戲中加密數據文件嗎?
- 29. 我應該在JWT令牌中傳遞加密數據嗎?
- 30. 密碼salt應該存儲在數據庫的自己的字段中嗎?
除非它的證書被信任並且被應用程序接受或被這些應用程序錯誤忽略,否則這樣的程序不會成功。如果加密算法是安全的並且系統中沒有其他漏洞,則通過加密進行加密是毫無意義的。 – EJP
將數據發送到客戶端設備的整個要點是要讀取數據。如果您添加*另一層*加密,您將如何解密客戶端設備上的數據?並且不會有任何可以看到未加密的SSL流的用戶也看到這個額外的解密嗎?如果您不信任客戶端機器,請不要發送它 - 這是他們的機器,如果他們想要,他們將讀取數據。 –