【发布时间】:2016-06-07 05:54:56
【问题描述】:
我对通过 cookie/会话进行安全连接的想法不熟悉,所以我正在做一些研究,并且遇到了 SSL 握手。我明白了:
- 浏览器向服务器发送初始请求
- 服务器向浏览器发送证书(包含公钥 n)
- 浏览器选择一个随机的 x(我不知道这是怎么做到的),并计算 (x^65537 mod n),并将这个计算值发送回服务器
- 服务器使用它们的两个私有(通常是素数)密钥解密这个计算值
- 服务器和客户端现在有一个只有双方知道的“会话密钥”。他们现在使用此会话密钥来加密属于此会话的所有消息。
我发现了一个问题Here 谈论此 SSL 对称密钥(会话密钥)在服务器端的存储位置。
然而,在客户端,我尝试打开开发者控制台并寻找它,但我找不到它。这是有道理的,显然我应该无法轻易找到它。此会话密钥存储在客户端的什么位置?我的会话密钥是否可能在 XSS 攻击期间被盗?
【问题讨论】:
-
第 3 步和第 4 步不正确。密钥协商协议在 RC 2246 和后续版本中定义,与您在此处描述的不同。互联网上有大量来自其他来源的关于此的 BS。不要相信他们。甚至不要阅读它们。
标签: security session ssl cookies