标签: man-in-the-middle
我们正在编写一个客户端服务器应用程序,并且该服务器支持HTTPS(TLS1.2)。由于敏感数据是从客户端发送到服务器的(例如密码),因此我们想防御MITM攻击。
一个建议是使用PKI。客户端将使用临时密钥(使用公共密钥加密)对请求进行加密,而服务器将使用私有密钥进行解密。
这是个好主意吗?我们是否真的需要通过HTTPS的另一层SSL? (有点是重新发明SSL。)在应用程序级别实施抵御MITM攻击是一种好的做法吗?