我有一个内部API,共享主机上运行的应用程序通过HTTPS从专用服务器获取半敏感数据。我在专用服务器上有证书,共享主机上的应用程序通过https进行API调用。
如果您在Web浏览器上测试SSL连接,证书可以正常工作,但PHP中的CURL给我带来了一些麻烦。我已将CURLOPT_SSL_VERIFYPEER设置为false以清除测试问题。
将此设置保留为false是否安全,因为我控制了两端的流量?事实上,我甚至需要SSL证书吗?只要它通过HTTPS,它就是安全的,对吧?
我是否有中间人攻击的危险?
答案 0 :(得分:2)
将此设置保留为false是否安全,因为我控制了两端的流量?事实上,我甚至需要SSL证书吗?只要它通过HTTPS,它就是安全的,对吧?
没有。如果你不仅控制两端,而且控制两者之间的一切,那么你才是安全的。如果您在两台计算机之间使用一根电缆并控制两台计算机,那么您可能比较安全。如果有任何布线,路由器等可能被其他人访问,那么你就不再安全了。
是的,除非你可以控制介于两者之间的一切,否则你无法阻止中间人。除非您验证证书,否则您既无法检测也无法阻止攻击。我是否有遭受中间人攻击的危险?