关于安全性和项目的一个小故事。为客户开发私有应用程序。此应用程序需要是安全的。我们保护它的一种方法是不允许外部连接。这意味着只能进行内部连接。或者通过VPN连接我们将安全性从这个连接到VPN提供商。但是,我们必须解决并牢记当地用户的安全问题。我们通过简单地将2级网络设备上的安全性和组织内的ldap安全性关闭来解决这个问题。然而,我们现在面临授权用户集(一些非常聪明的人)的斗争,我们如何在这里保持安全。
所以问题是。如果我们有一个SSL分层应用程序。仅允许用户通过SSL连接访问Web服务器。它会保护所有流量吗?
情景:
用户A登录到运行在IP地址10.x.x.180(在ssl下)的此网站。
用户B正在打开wireshark并在此网络中嗅探任何流量为10.x.x.180的ip。
用户A拨打网站电话查看网页。此网页在此服务器上调用本地json文件。将json返回给应用程序。然后读取这个json并显示给用户A.
Q值。用户B能否在他的嗅探包中看到这些数据?或者他只是看到SSL加密数据?
答案 0 :(得分:0)
Q值。用户B能否在他的嗅探包中看到这些数据?要么 他会看到SSL加密数据吗?
他只会看到提供端到端加密的加密SSL流量。