我了解使用 Web 存盤的 XSS 漏洞和使用 cookie 的 CSRF 漏洞。因此,我將訪問令牌存盤在記憶體中,并且為了持久性,我在 cookie 中有一個重繪 令牌,當我們丟失它時,我用它來靜默重繪 我的訪問令牌。我對 XSS 和 CSRF 威脅感覺好一些……但是我們如何從資料包嗅探器中保護令牌?資料包嗅探器會在請求中找到令牌。我看到很多關于 XSS 和 CSRF 的討論,但是我們如何保護資料包嗅探器的安全,還有更多我們通常不會想到的威脅嗎?
uj5u.com熱心網友回復:
您使用 HTTPS 來防御資料包嗅探器。
Fiddler 作為代理將無法解密云中的 HTTPS 流量,除非將內置根證書的 fiddler 添加到瀏覽器或發出請求的客戶端。
Fiddler 能夠解密 HTTPS,因為您已將 Fiddlers 根證書添加到您計算機中的受信任存盤中。沒有這個,就無法建立正確的 HTTPS 連接。
所以,不用擔心云端的 Fiddler。
uj5u.com熱心網友回復:
https 提供端到端加密。它由瀏覽器在應用程式級別實施,因此同一網路上的其他用戶不會破壞 https 安全性。
以下是 ssl 和 https(http over ssl)如何作業的簡短說明
SSL:
關鍵思想是,從數學上講,您可以生成一個公鑰 A 和一個私鑰 B,如果您用 A 加密某些東西,您只能用 B 解密它。假設服務器 google 有一對公鑰 A 和私鑰 B. 客戶想要向 google 發送一些資料。這個想法是,如果客戶端擁有密鑰 B,他可以加密他想要發送的資料,并且他不再關心網路威脅,例如中間人釣魚資料包或資料,因為只有密鑰 B(谷歌)的所有者才能解密資料。所以中間的人只會有沒有用的加密資料。請注意,從上面可以清楚地看出,服務器(此處為 google)應保持其私鑰不共享,但應分發其公鑰,以便客戶端可以使用它與服務器進行安全通信(通過加密)。
如何分發公鑰?
使用公鑰基礎設施 (PKI),它是一組用于管理和分發公鑰的角色、物體、定義等。
簡而言之,服務器向證書頒發機構 (CA) 請求證書。該證書包含有關服務器的資訊(名稱、IP 等)以及為該服務器生成的公鑰和私鑰(注意這里有幾個程序服務器可能會請求生成密鑰,其中一個是服務器生成私鑰和 CA 只負責生成公鑰)。
最后,在瀏覽器中內置了一個受信任的 CA 串列,這樣這些瀏覽器比如 chrome 就可以去獲取 google 的公鑰 A,并用它來加密它想要發送給 google 的資料。
以上是 ssl 通信協議的作業原理(ssl 證書)。Ssl 只是一種提供安全通信的協議。它不提供路由和網路功能。
網址:
Https 基本上是 HTTP 連接,它提供使用 SSL 保護的資料。這意味著 SSL 加密資料將使用 HTTP 等協議進行路由以進行通信。
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/406417.html
標籤: