【发布时间】:2021-04-20 23:56:45
【问题描述】:
每个人 我想确认关于 curl 的一件事。
如果我在 curl 中使用 -k 选项,数据传输是否仍然安全?我想是的,因为在下面
point1:来自https://curl.se/docs/sslcerts.html,貌似-k只是跳过SSL证书验证,不影响后续数据传输
point2:从我测试中的wireshark抓包来看,应用程序数据协议仍然是“http-over-tls”,数据也被加密了
【问题讨论】:
每个人 我想确认关于 curl 的一件事。
如果我在 curl 中使用 -k 选项,数据传输是否仍然安全?我想是的,因为在下面
point1:来自https://curl.se/docs/sslcerts.html,貌似-k只是跳过SSL证书验证,不影响后续数据传输
point2:从我测试中的wireshark抓包来看,应用程序数据协议仍然是“http-over-tls”,数据也被加密了
【问题讨论】:
如果您使用 -k,cURL 将跳过验证您连接到的网站的 SSL 证书。您是对的,数据传输仍将被加密,因此您将受到保护,防止有人窥探您的网络。
当您有人可以主动重定向网络上的流量时,就会出现问题。他们可以运行所谓的man-in-the-middle attack,并能够读取(或修改!)正在传输的数据。
换句话说:当您连接到https://google.com 时,安全性分为两部分:
使用 -k 选项(禁用证书验证)会删除安全性的第二个组成部分(因为这是证书背后的全部想法)。由于存在中间人攻击的危险,它不被认为是安全的——但它是仍然加密的!
【讨论】: