我打算在HTTPS中运行我的应用程序的登录部分,从登录屏幕开始。一旦用户登录并完全使用HTTPS继续他的会话,如何执行MITM攻击?这种攻击不是取决于弄清楚双方在说什么吗?
我正在使用带有WCF服务的asp.net,后来将移植到Azure。
感谢。
答案 0 :(得分:2)
如果您的登录会话使用HTTPS加密,那么您就可以抵御MITM攻击。客户端将使用服务器的公钥将数据发送到服务器,该公钥只能使用服务器的私钥解密。然后,客户端和服务器将使用此安全通道来同意用于通信的密钥。
MITM攻击者无法获取私钥,因为它是私有的。他们无法为目标域提供证书,因为证书只能从CA获得,并且(理论上)您的浏览器信任的CA不会签署域的证书,除非他们证明他们拥有它。他们无法获得会话密钥,因此无法进行MITM攻击。