【发布时间】:2016-02-12 10:23:51
【问题描述】:
我的应用是基于 Spring 框架的,用于传输非常机密的数据。在使用 Fiddler、Paros Proxy 等代理工具测试应用的过程中,发现这些工具正在拦截请求数据,并且数据是在到达服务器之前很容易修改。
我的应用程序当前未与 SSL 集成。我们将实施 SSL /HTTPS。但这是因为尚未集成 SSL 吗?
代理工具在没有 HTTPS 的情况下拦截来自 Web 应用程序的数据是否正常?
【问题讨论】:
【发布时间】:2016-02-12 10:23:51
【问题描述】:
这里有两件事。
1) 如果您不使用 SSL,则通信未加密,这意味着任何能够拦截流量的人都可以看到内容。您不一定需要代理。
2) 使用拦截 HTTP 代理,您也可以看到 SSL 加密流量。代理所做的是建立两条单独的 SSL 隧道,一条在服务器和代理之间,一条在客户端和代理之间。这样代理本身就可以看到整个流量。当然代理只能提供一个伪造的 SSL 证书,它会在浏览器中为用户触发一个通知,但他可能会忽略它。
【讨论】:
-
那么使用http是不是对机密数据没有安全保障?只有当数据安全不是标准时,我们才选择http?
-
这取决于您如何使用 HTTP。在富/胖客户端中,您可以强制执行严格的证书验证以拒绝假证书。在浏览器中,浏览器会以各种方式警告用户,但除了使用由所有浏览器中包含的知名证书颁发机构签名的证书外,您无法在服务器端执行更多操作。 @bummi 感谢您的链接。
-
@gerion,也许你可以编辑一些答案以避免惹上麻烦?
是的。如果您不使用 https,代理会看到应用程序发送或接收的所有内容。
为防止这种情况,您必须使用 https。
要防止 sslstrip,您必须使用 HSTS。
【讨论】: