【问题标题】:curl using -k optioncurl 使用 -k 选项
【发布时间】:2021-04-20 23:56:45
【问题描述】:

每个人 我想确认关于 curl 的一件事。

如果我在 curl 中使用 -k 选项,数据传输是否仍然安全?我想是的,因为在下面

point1:来自https://curl.se/docs/sslcerts.html,貌似-k只是跳过SSL证书验证,不影响后续数据传输

point2:从我测试中的wireshark抓包来看,应用程序数据协议仍然是“http-over-tls”,数据也被加密了

【问题讨论】:

    标签: curl tls1.2


    【解决方案1】:

    如果您使用 -k,cURL 将跳过验证您连接到的网站的 SSL 证书。您是对的,数据传输仍将被加密,因此您将受到保护,防止有人窥探您的网络。

    当您有人可以主动重定向网络上的流量时,就会出现问题。他们可以运行所谓的man-in-the-middle attack,并能够读取(或修改!)正在传输的数据。

    换句话说:当您连接到https://google.com 时,安全性分为两部分:

    • 您的通信是否加密? (所以被动窥探的人看不到你在做什么)
    • 您实际上是在与真正的 google.com 交谈吗? (相对于攻击者控制的系统)

    使用 -k 选项(禁用证书验证)会删除安全性的第二个组成部分(因为这是证书背后的全部想法)。由于存在中间人攻击的危险,它不被认为是安全的——但它仍然加密的!

    【讨论】:

      猜你喜欢
      • 2012-07-28
      • 2017-06-11
      • 2020-09-02
      • 2014-09-20
      • 1970-01-01
      • 1970-01-01
      • 2018-09-06
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多