我有两个不同的服务器,一个服务于桌面用户,另一个服务于移动用户。 (www.mywebsite.com,m.mywebsite.com)。
移动服务器上的用户需要将一些敏感数据发送到www服务器进行处理。所以在www服务器中我安装了SSL。我想知道mobile服务器中是否还需要SSL证书,以便可以安全地传输敏感数据?或者只有一台SSL服务器就足够了?
感谢。
答案 0 :(得分:2)
不仅必须通过SSL保护敏感数据的传输,还必须保护导致此传输的任何内容。如果不是这种情况,可以使用像sslstrip这样的工具在中间攻击中做一个活跃的人,并用https://目标替换任何http://目标,而不会让受害者知道它。
然后攻击者可以拦截普通数据(即http不是https)并将这些数据转发到原始服务器。