我正在流畅地使用选项verify ssl设置为false。我很难确定流量是否仍然使用此选项加密。从我可以收集它仍然加密。顾名思义,它只是不验证证书是合法的还是可信的。这是对的吗?
答案 0 :(得分:0)
它仍然是加密的....它只是没有验证证书是合法的还是可信的。
是的,流量仍然是加密的。只有在没有正确的证书验证的情况下,您无法确定是否使用预期系统进行了加密通信,而不是某些冒充预期系统的攻击者。例如,这个攻击者可以在中间嗅探或修改流量。
如果您处于只能进行被动攻击的网络(即流量嗅探),则不验证证书就足够了。如果攻击者能够安装主动攻击(使用ARP欺骗,DHCP欺骗,DNS欺骗......),那么在不验证证书时,您无法确定是否与正确的系统通信。