考虑一个场景,用户在页面的表单元素中输入用户身份验证(用户名和密码),然后提交。 POST数据通过HTTPS发送到新页面(php代码将检查凭据)。现在,如果黑客坐在网络中,并说可以访问所有流量,那么在这种情况下,应用层安全性(HTTPS)是否足够?我的意思是,是否有足够的URL加密或是否需要传输层安全性?
答案 0 :(得分:10)
是的,所有内容(包括URL)都通过加密频道。反派唯一能找到的是你要连接的服务器的IP地址,以及你使用的是HTTPS。
好吧,如果他也在监控你的DNS请求,他也可能知道IP地址的域名。但就是这样,路径,查询参数和其他所有内容都被加密了。
答案 1 :(得分:2)
是。在HTTPS中,只有握手是以未加密的方式完成的,但即使HTTP GET / POST查询都是加密的。
然而,无法隐藏到您连接的服务器,因为他可以看到您的数据包,他可以看到数据包所在的IP地址。如果你也想隐藏它,你可以使用代理(虽然黑客会知道你发送到代理,但不知道你的数据包后来发送到哪里)。
答案 2 :(得分:0)
HTTPS足够“如果”客户端是安全的。否则,有人可以安装自定义证书并玩中间人。
作为Web开发人员,除了禁止HTTP请求之外,不能做太多事情。这可以通过Apache中的mod_rewrite来完成。
答案 3 :(得分:-1)
是否足够,因为如果它可以访问您的所有流量,无论您使用什么加密协议,他都可以使用中间的人来加密协议。