我正在开发一个连接到https://链接以验证用户身份的iPhone应用程序。据我所知,所有流向拥有256位私钥的服务器的流量都是安全的,无法捕获,因此无需再次加密数据,可以通过HTTPS连接以纯文本形式发送。
看完这篇博文后:http://wirewatcher.wordpress.com/2010/07/20/decrypting-ssl-traffic-with-wireshark-and-ways-to-prevent-it/
我不明白如果Wireshark是安全的,它怎么能捕捉到流量。
编辑:我重读了这篇文章,据我所知,你必须访问服务器的私钥才能做到这一点。
我不明白的是这家伙是怎么在这里做的,因为我不认为他能接触到这些。http://techcrunch.com/2013/11/25/quizup-privacy-violations/
http://kylerichter.com/our-responsibility-as-developers/
如果你仔细阅读:
[…]此命令的输出是两个文件,testkey.pem(包含1024位RSA私钥)和testcert.pem(包含自签名证书)
再往下看:
选择SSL后,右侧有一个选项可以输入"RSA密钥列表"。输入以下内容:
10.16.8.5443,http,c:\openssl-win32\bin\testkey.pem
您需要将服务器IP地址和testkey.pem的路径编辑为适当的
更多:
保护个人的私钥是任何使用非对称密钥。如果您的私钥被泄露,攻击者可以要么伪装成你,要么他们可以尝试解密如上所述。
基本上,在本教程中,作者将私钥交给wireshark,以有意解密travic-。该私钥必须在服务器上保密,在现实生活中任何人都不应该访问。他给出了一些增强安全性的技巧,比如使用Diffie-Hellman交换密钥的方法。
一句话:是的,它是安全的。
以下是一些很好的视频来解释公钥密码:http://www.youtube.com/playlist?list=PLB4D701646DAF0817
您关心的是别人窥探密码和其他用户信息,还是弄清楚API并直接使用您的web服务?
窥探iPhone上的HTTPS流量相当简单,只要你实际拥有该设备(而不是其他MITM)
http://b2cloud.com.au/how-to-guides/monitoring-an-iphones-https-traffic-part-2
如果您担心有人使用您的API,那么是的,您需要在SSL之上提供某种额外的安全性。如果是这样的话,请告诉我,我会为您提出几个解决方案。
首先:如何定义"安全"?安全有很多层次和方面,每种类型的安全都有"漏洞"。否则,所有内容都将无法访问(或可使用)。任何类型的安全都有好处也有坏处。
HTTPS"只是"在(纯)HTTP层上添加了一个加密层。这意味着HTTPS上的所有数据都将在发送方和接收方之间加密,但。。。。事实上,接收者可以解密数据,基本上意味着其他人都可以解密,为什么?因为这只是一种加密/解密机制,所以任何拥有正确密钥/信息的人都可以执行相同的操作。因此,更重要的是要将私钥保持为真正的私有密钥,因此任何人破解您(SSL/TLS加密)通信的可能性都很小。
您对https的理解基本正确,https是安全的。然而,链接的帖子是访问加密数据的一种非常黑客的方式,他正在为WireShark工具提供私钥,这基本上就是它工作的原因。
通过使用中间人攻击,我们可以捕获iPHone应用程序和网络之间的流量。Wireshark是捕获网络流量的工具