每个人都建议为我的网站购买SSL证书,以防止许多安全问题主要是窃听。我读过有关窃听的文章,但窃听如何破解我的网站密码?
严格要求使用SSL来防止SSL吗?或者还有其他方法吗?
答案 0 :(得分:3)
其他选项包括:
可能还有更多,但这将是一个简单的答案
答案 1 :(得分:3)
密码学和安全性是一个复杂的主题,有许多微妙的挑战,所以如果你觉得不舒服并且不熟悉那些,我应该警告你不要部署你自己的安全关键应用程序。
那就是说,让我来解决SSL提供的加密和身份验证问题:加密阻止第三方学习对话内容。在您的上下文中,“第三方”将是来自同一网吧中其他人的任何人,以及您的用户和服务器之间路线上的任何人。您基本上应该考虑将所有未加密的通信公开发布在墙上。
但仅加密并不能保证与您交谈的人实际上是预期的合作伙伴。攻击者可以相对轻松地将自己链接到对话中,并假装用户是服务器,并假装他是用户的服务器,从而读取所说的所有内容,并根据需要加密和解密每个通道。为避免这种中间人攻击,身份验证至关重要。通过使用证书可以在一个方向上实现这一目标。
也就是说,如果您的服务器有证书,那么用户可以确保与正确的服务器通话。 (客户端通常不会获得证书,因为在该方向上的身份验证在流程中执行得更高。)但这一切都归结为您的用户知道您的证书。原则上,您必须“通过可靠的方式”向用户提供服务器证书,但这样做没有通用的配方。 (电话呼叫会相当不错。)相反,可以调用“信任等级”,用户信任哪些信任证书,由更高和更高级别的机构递归信任。由于大多数浏览器都附带了这种受信任的root权限集合,因此购买的带有签名的证书将使您自己的证书对用户显示为“可信”。
实际上,问题是用户是否会关心证书的可信度。在理想的世界中,他们会拒绝所有不受信任的人,并且您将被迫获得签名证书。但是许多当代合法机构确实使用未签名的证书,因此许多用户完全接受了忽视这个问题的培训。
也就是说,您可能会使用未签名的证书,但是要求用户信任不受信任的证书,您正在训练人们做错误的事情,这最终可能会对我们所有人产生不利影响。你的电话。
答案 2 :(得分:0)
你有没有读过FireSheep?
FireSheep可以让任何Joe Schmoe在未实施SSL时轻松窃取私人数据。查看以下任何新闻文章:
http://robert.accettura.com/blog/2010/10/26/firesheep-demonstrates-the-need-for-ssl/
http://blogs.computerworld.com/17254/i_hijacked_a_facebook_account_with_firesheep
要点:如果您想保护用户的数据,请使用SSL。
答案 3 :(得分:0)
是的! SSL是严格要求的。如果您通过网络发送纯文本,黑客可以看到您发送的内容。通过网络加密的文本将为您的哈希密码提供更加危险的密码。因此,您需要通过SSL发送信息。
答案 4 :(得分:0)
黑客总是可以使用sslstrip从任何网页,银行,paypale,facebook等中删除ssl。在计划文本中看到任何可以看到的东西........ Firesheep是一个很好的工具,即使是盲人也可以轻松使用它。但那是更多的煽动劫持。这是通过窃取cookie或制作自己的cookie来完成的。您的网站仅在登录时使用ssl,因为它会丢弃加密并使用cookie中的会话ID号。偷走你所携带的饼干,就像你偷走它一样。除了使用firesheep之外,Firefox还可以很好地添加工艺cookie。