【发布时间】:2021-02-16 20:01:29
【问题描述】:
我试图了解 https 和 http 之间的区别。根据我目前所阅读的内容,https 是带有加密的 http。
所以在用户提交密码表单的场景中,如果是http,密码将以基于文本的格式通过网络发送,而在https的情况下,密码将以加密格式发送. 所以https更安全。用户的用户名和密码不会暴露给窥探者。
但我的问题是,假设有人在窥探网络,而我们正在使用 https,窥探者/黑客仍然可以访问加密数据,他可以使用加密数据访问会话 cookie 并登录到网站。
我们如何防范这种情况?或者 https 在这种情况下如何帮助我们?
【问题讨论】:
-
the snooper/hacker still has access to the encrypted data, he can use the encrypted data to gain access of session cookie and login to the website.他不能。 所有内容都经过加密,包括 cookie。 -
@tkausl 如果一切都加密了,路由器如何路由http请求?
-
您是否认为攻击者可以简单地重放加密数据?加密在服务器和每个单独的客户端之间单独协商。攻击者需要连接到服务器并用自己的秘密协商自己的加密会话;在这一点上,捕获的其他人的数据一文不值,因为它是用不同的秘密加密的。
-
“一切”是指 HTTP 请求(第 7 层),路由发生在第 3 层。
-
路由器不路由 HTTP 请求,它们路由 TCP/IP 数据包。这些是围绕 HTTP 的信封。
标签: http security https websecurity