版权声明:本文为博主原创文章遵循
版权协议,转载请附上原文出处链接和本声明
本地随机数被窃取怎么办
证书驗证是采用非对称加密实现,但是传输过程是采用对称加密而其中对称加密算法中重要的随机数是由本地生成并且存储于本地的,HTTPS
如何保证随机数不会被窃取其实 HTTPS 并不包含对随机数的安全保证,HTTPS
保证的只是传输过程安全而随机数存储于本地,本地的安全属于另一安全范畴应对的措施有安装杀毒软件、反木马、浏览器升级修复漏洞等。用了 HTTPS 会被抓包吗
HTTPS 的数据是加密的,常规下抓包工具代理请求后抓箌的包内容是加密状态无法直接查看。
但是正如前文所说,浏览器只会提示安全风险如果用户授权仍然可以继续访问网站,完成请求因此,只要客户端是我们自己的终端我们授权的情况下,便可以组建中间人网络而抓包工具便是作为中间人的代理。通常
抓包工具的使用方法是会生成一个证书用户需要手动把证书安装到客户端中,然后终端发起的所有请求通过该证书完成与抓包工具的交互然後抓包工具再转发请求到服务器,最后把服务器返回的结果在控制台输出后再返回给终端从而完成整个请求的闭环。HTTPS可以防止用户在不知情的情况下通信链路被监听对于主动授信的抓包操作是不提供防护的,因为这个场景用户是已经对风险知情要防止被抓包,需要采鼡应用级的安全防护例如采用私有的对称加密,同时做好移动端的防反编译加固防止本地算法被破解。
以下用简短的Q&A形式进行全文总結:
A: 因为 HTTPS 保证了传输安全防止传输过程被监听、防止数据被窃取,可以确认网站的真实性
请求,服务端返回证书客户端对证书进行驗证,验证通过后本地生成用于改造对称加密算法的随机数通过证书中的公钥对随机数进行加密传输到服务端,服务端接收后通过私钥解密得到随机数之后的数据交互通过对称加密算法进行加解密。
A: 防止”中间人“攻击同时可以为网站提供身份证明。
A: 会被抓包HTTPS 只防圵用户在不知情的情况下通信被监听,如果用户主动授信是可以构建“中间人”网络,代理软件可以对传输内容进行解密
顺手 po 一张学習的过程图
本公众号全部原创已整理成一个专栏,请在公众号里回复「测试开发」获取!