HTTPS安全吗?

时间:2013-11-26 10:17:59

标签: ios ssl https

我正在开发一个连接到https://链接的iPhone应用程序来验证用户身份。 根据我的理解,进入具有256位私钥的服务器的所有流量都是安全的,无法捕获,因此无需再次加密数据,并且可以通过HTTPS连接以纯文本形式发送。

阅读此博文后: http://wirewatcher.wordpress.com/2010/07/20/decrypting-ssl-traffic-with-wireshark-and-ways-to-prevent-it/

我不明白如果Wireshark是安全的,那么该流量是如何捕获的。

修改 我已经重新阅读了这篇文章,根据我的理解,您必须能够访问服务器的私钥才能执行此操作。

我不明白这个人是怎么做到的,因为我认为他没有这样做。 http://techcrunch.com/2013/11/25/quizup-privacy-violations/
http://kylerichter.com/our-responsibility-as-developers/

4 个答案:

答案 0 :(得分:4)

如果你仔细阅读:

  

[...]此命令的输出是两个文件, testkey.pem (包含   1024位RSA私钥)和testcert.pem(包含自签名   证书)

进一步向下:

  

选择SSL后,右侧会出现一个输入“RSA”的选项   键列表“。输入以下内容:

     

10.16.8.5,443,HTTP,C:\ OpenSSL的-的win32 \ BIN \ testkey.pem

     

您需要编辑服务器IP地址和 testkey.pem路径   合适的。

还有更多:

  

保护一个人的私钥是任何系统使用的核心   不对称的钥匙。如果您的私钥被泄露,攻击者可以   要么伪装成你,要么他们可以尝试进行解密   如上所述。

基本上在本教程中,作者给予wireshark 私钥来解密流量 - 故意。该私钥必须在服务器上保密,在现实生活中不应该被任何人访问。他提供了一些增强安全性的技巧,比如使用Diffie-Hellman方法交换密钥。

底线:是的,它是安全的。

以下是一些解释公钥加密的精彩视频: http://www.youtube.com/playlist?list=PLB4D701646DAF0817

答案 1 :(得分:1)

您的关注点是人们窥探密码和其他用户信息,还是直接找出API并使用您的网络服务?

只要您拥有该设备(而不是其他一些MITM),在iPhone上窥探HTTPS流量相当简单

http://b2cloud.com.au/how-to-guides/monitoring-an-iphones-https-traffic-part-2

如果您担心人们使用您的API,那么您需要在SSL之上提供某种额外的安全性。如果是这种情况,请告诉我,我会为您推荐几种解决方案。

答案 2 :(得分:0)

首先:你如何定义'安全'? 安全性有许多层面和方面,每种类型的安全性都有“漏洞”。否则一切都将无法访问(或无法访问)。任何类型的安全都有优点和惩罚。

HTTPS“只是”在(普通)HTTP层上添加加密层。这意味着通过HTTPS的所有数据都将在发送方和接收方之间进行加密,但是....接收方可以解密数据的事实,基本上意味着其他任何人都可以做到,为什么呢?因为它只是一种加密/解密机制,所以任何拥有正确密钥/信息的人都可以执行相同的操作。因此,保持私钥真正私密更为重要,因此任何人都能够破解(SSL / TLS加密)通信的机会非常小。

您对https的理解基本上是正确的,并且https是安全的。然而,链接的帖子是访问加密数据的一种非常hacky的方式,他正在为WireShark工具提供一个私钥,这基本上就是它的工作原理。

答案 3 :(得分:-2)

通过使用中间人攻击,我们可以捕获iPHone应用程序和网络之间的流量。 Wireshark是一种捕获网络流量的工具