【发布时间】:2012-05-12 12:16:48
【问题描述】:
我计划在 HTTPS 中运行我的应用程序的登录部分,从登录屏幕开始。一旦用户登录并完全在 HTTPS 中继续他的会话,如何执行 MITM 攻击?这种攻击,不是要搞清楚双方在说什么吗?
我正在使用带有 WCF 服务的 asp.net,稍后将移植到 Azure。
谢谢。
【问题讨论】:
标签: asp.net wcf security azure
【发布时间】:2012-05-12 12:16:48
【问题描述】:
如果您的登录会话使用 HTTPS 加密,那么您可以安全地抵御 MITM 攻击。客户端将使用服务器的公钥加密的数据发送到服务器,该公钥只能使用服务器的私钥解密。然后,客户端和服务器将使用此安全通道就用于通信的密钥达成一致。
MITM 攻击者无法获取私钥,因为它是私有的。他们无法为目标域提供证书,因为证书只能从 CA 获得,并且(理论上)您的浏览器信任的 CA 不会为域签署证书,除非他们证明他们拥有它。他们无法获取会话密钥,因此不可能进行 MITM 攻击。
【讨论】: