以下是上下文:我正在开发一个公共网站的管理网站。管理网站的用户只是公司的少数员工,我不想让他们使用HTTP来防止中间人攻击。
如果我理解得很好,使用HTTP将允许任何有能力嗅探数据包的人(互联网服务提供商,一个恶意的人“收听”Wifi信号,......)以便在有人登录时捕获登录名和密码到管理网站,对吗?
我到处读到使用HTTPS并购买某种证书,但我不愿意(除非你给我一个充分的理由)既不为此付费,也不是免费获得一个以便开绿灯我的用户的网络浏览器。
正如这个问题的标题所指出的那样,我不明白:
或如果
或
我真的没有看到获得证书的重点,因为如果有人,尽管遇到各种技术困难,成功地在我的一个用户和我的网络服务器之间进行了一次中间人攻击,在我的感知,在我的用户和证书颁发机构之间进行相同的攻击似乎并没有增加太多的努力。
我肯定会在这里错过一些东西,有人能指出我的方向吗?
由于
答案 0 :(得分:1)
证书是确保通信安全所必需的。有关详细信息,请参阅Wikipedia: Public Key Certificate。如果您不想支付一个,您可以创建自签名证书(该过程因您使用的Web服务器而异)但这需要用户明确接受证书(每个浏览器都有自己的方法)这样做)。
这可能是因为这是一个管理部分而且无法公开访问,但我仍然建议您购买证书。创建一个自签名的麻烦,并要求用户接受它是不值得ssl证书花费的几美元。
我真的没有看到获得证书的重点,因为如果 尽管有各种技术困难,但有人成功投入 在我的一个用户和我的网站之间进行一次中间人攻击 服务器,在我看来,似乎并没有增加太多的努力 在我的用户和证书之间进行相同的攻击 权限。
这不是SSL的工作方式。通过HTTPS,所有通信在浏览器发送时都会被加密,所以即使有人要嗅它,也没用。