使用HTTPS时是否可以像MITM这样的攻击?
我知道如果连接以HTTP开始然后被重定向到HTTPS,那么它们是可能的,但是如果初始连接本身使用HTTPS会怎样?
我正在实现一个使用HTTPS连接到服务器的客户端,并想知道我是否有必要明确地确定服务器的真实性(不是,不是服务器验证客户端是它所说的那个,而是客户端确保服务器是它所说的那样) - 我在iOS中这样做,其中API可用,这使得它很容易做,但我不确定是否有必要这样做,如果我这样做,那么如何测试它是否有效。
由于
答案 0 :(得分:0)
MITM SSL绝对可能,如果你没有真正检查服务器的证书,通常很容易。
考虑有人在咖啡店使用您的应用,恶意员工可以控制无线路由器。他们可以监视与服务器的HTTPS连接,并将其重定向到本地MITM程序。例如,该程序使用自签名SSL证书接受连接,然后打开与真实服务器的连接并代理它们之间的流量。
只要您检查服务器证书的有效性,就会阻止这种简单的攻击。那样做吧。 : - )
已经证明有更复杂的攻击,在特殊情况下,即使你检查证书,MITM仍然可以进行SSL连接,但是使这些攻击有效的情况很难安排大多数开发人员需要担心他们。