我使用中间人代理监控来自Android手机的网络流量。作为其中的一部分,我安装了一个证书(由我的服务器签名)到我的手机,我可以看到所有应用程序发送敏感信息,如密码作为明文。
我知道SSL协议负责建立安全通信,但是这样做是否可以消除加密数据的需要?
答案 0 :(得分:0)
所以这里确实有两个问题:
它是否消除了在所有情况下加密数据的需要?否。
在大多数情况下是否消除了加密数据的需要?是。
要理解这些答案,我们需要谈谈一件重要的事情:密钥分发。
您将如何获得用户(发出请求的人)的密钥。如果您有一个可靠的侧通道,那么可以在侧通道中发送密钥。这意味着即使攻击者可以解密TLS流,任何通过TLS加密和发送的数据都不会被解密。
对于普通网站来说,没有可靠的旁道。对于普通的网络服务,也没有一个(像sshd这样的实现只是尽力做到“假设第一个连接是好的”)。
如果您的数据非常重要,足以证明密钥的旁道分配(最好是离线),那么TLS中添加的加密可以保护您免受某些攻击媒介的攻击。</ p>
但是,问问自己,它是否适合您的用例。所有安全性都是可用性和简单性的权衡......