有一天,我注意到,如果我運行IEInspector的HttpAnalyser並在登錄到我的銀行帳戶或亞馬遜帳戶時捕獲發佈數據,發佈數據將顯示我的用戶名和密碼。這有點關心。有誰知道SSL加密在什麼時候發生?我假設這意味着您的機器上安裝的任何軟件都可能訪問此發佈數據。很嚇人。SSL真的有多安全?
回答
這個東西是內置到您的瀏覽器!瀏覽器是對文本進行加密的實體,所以它顯然具有加密和未加密文本的副本。你所顯示的插件可以訪問IE所做的一切。
如果您想要真實表示使用什麼wireshark。這將讀取您的瀏覽器輸出的實際網絡流量。
安全套接字層 - 它通過套接字(網絡/互聯網)上的數據加密而不是在本地計算機上。
SSL加密肯定會發生在擊中網絡之前。數據包嗅探器無法獲取請求或響應的內容。
IEInspector是否在IE中運行(作爲插件)?在這種情況下,它可能會做一些非常討厭的事情(但是當你安裝它時,你同意了)。
SSL「通過電線」加密流量。因此,您的計算機和接收服務器之間安全(減去SSL漏洞,就像剛剛發現的新漏洞 - http://twit.tv/sn223)。
如果您的計算機上存在惡意軟件,那麼您已不再安全。而SSL根本無法幫助你。惡意軟件無論如何都可以使用更多的基本攻擊,如鍵盤記錄......
SSL非常安全。
我認爲Thilo已經找到了正確的答案--IEInspector似乎在IE下運行,而不是作爲一個單獨的工具。我懷疑它能夠在之前顯示流量它通過SSL堆棧並離開瀏覽器。
您可以通過下載像Wireshark這樣的數據包嗅探器並嗅探來自網卡的流量來證明這種情況。你會看到數據包實際上是加密的,你的登錄實際上並不是純文本的。
至於你對SSL的問題,而不是在瀏覽器中看到你的uid/pwd的問題。總之,SSL很好。最近有一些非常微妙的攻擊,但它仍然是一個很好的協議,特別是TLS 1.0和更高版本(TLS是IETF批准的SSL)
但是您需要考慮威脅 - 您想要使用SSL解決哪些問題?如果您擔心使用服務器身份驗證進行線上篡改檢測和保密,那麼這很好,只要確保您的客戶端和/或服務器不會與弱密碼組協商,例如40位或56位RC4或DES ,或MD4等。
如果需要,SSL也可以提供客戶端身份驗證,但這是可選的。
作爲最後的筆記。SSL一般wwaayy比什麼都好,你可以設計:)
歡呼聲,邁克爾
- 1. 具有SSL安全性的GWT
- 2. API安全問題:SSL或更多?
- 3. iframe和SSL安全
- 4. SSL不安全的對象
- 5. SSL第一次沒有顯示安全
- 6. 「safe_eval」是否真的安全?
- 7. iframe有多安全
- 8. PHP有多安全?
- 9. SSH有多安全?
- 10. Elmah有多安全?
- 11. openID有多安全?
- 12. SectionInformation.ProtectSection有多安全?
- 13. 線程安全與SSL + NIO
- 14. 什麼使SSL安全?
- 15. SSL和非安全資源
- 16. IceCast SSL證書不安全
- 17. SSL和WCF傳輸安全
- 18. Android WebView SSL'安全警告'
- 19. Web-api安全性:SSL?
- 20. SSL - 安全和不安全的東西在同一頁上
- 21. Cookie默認情況下不安全但安全的SSL
- 22. SSL安全和非安全項目 - WordPress的
- 23. 沒有有效的SSL證書,HTTPS連接是否安全?
- 24. $ _SERVER [「HTTP_HOST」]有多安全?
- 25. Facebook連接有多安全?
- 26. 使用Drush有多安全?
- 27. JavaScript加密有多安全
- 28. 使用Maven有多安全?
- 29. 網絡有多不安全?
- 30. Authlogic密碼有多安全?
我不認爲你應該擔心這是你的計算機上的數據(惡意軟件可能只是捕捉密碼,您鍵入或別的東西)。 SSL(現在的TLS)可以保護傳輸中的數據。嘗試嗅探另一臺機器的線路,看看它們是否仍然是明文。 – SapphireSun 2010-02-11 09:12:34
這應該可能是超級用戶:D – 2010-02-11 09:15:19
「您計算機上安裝的任何軟件都可能訪問此發佈數據」 - 正如其他人所說的那樣,一旦您在機器上安裝了軟件,則所有投注都無法使用它可以做什麼。這就是爲什麼你需要小心你的機器上安裝了哪些軟件。除了iPhone操作系統之外,所有人都討厭它,因爲它被鎖定了:/ – 2010-02-11 09:23:45