我已经通过两个关于HTTP Vs HTTPS的良好链接,即
我提出了我的简单理解和一些疑问。这是理解: -
当我们从http迁移到https时,我们必须修改Web应用程序,以便在收到第一个请求时,它会发送带有响应的数字证书。
我们要修改的另一件事是server.xml,包括密钥库位置(如值为.keystore)和密码。该密钥库实际上将包含将用于加密的密钥 解密双方的数据,即服务器和客户端(浏览器)。
现在,当客户端发送第一个请求时,它会获取加密的数据,证书和密钥。在此密钥的基础上,浏览器解密数据并加密 再次将其发回客户端。一旦浏览器接受检查证书的真实性,它就会给出许可,说明它是受信任的站点。
上述步骤是否正确?
如果是,我们怎么能说黑客可以打破这个。因为如果在基础算法上发生加密和解密(基于.keystore文件中的密钥管理), 他们还可以在将请求发送到服务器时解密数据。如果浏览器可以那个算法为什么不是黑客呢?我同意它会增加一个额外的安全性 一步,但它仍然可以被黑客攻击。只是一个想法?
答案 0 :(得分:0)
我不太关注您的问题,但是,如果您可以在两个方向拦截邮件,则可以在HTTPS上进行窃听 - 阅读man-in-the middle次攻击。
但是,如果可以安全地交换公钥,那么#34;带外"或以其他方式验证,然后公钥加密可以防止窃听。
答案 1 :(得分:0)
粗略的基础知识如下:
服务器有公钥和私钥。用一个加密的所有东西都只能用另一个解密。
在请求中,服务器发送公钥。
客户端创建一个秘密(想想随机数),用公钥加密并发回。
只有服务器可以解密它。
服务器和客户端现在共享一个秘密,可以用它来加密来回传递的消息。
如果您想了解更多有关此内容的详细信息,我建议使用Google SSL