我正在开发一个连接到https://链接的iPhone应用程序来验证用户身份。 根据我的理解,进入具有256位私钥的服务器的所有流量都是安全的,无法捕获,因此无需再次加密数据,并且可以通过HTTPS连接以纯文本形式发送。
我不明白如果Wireshark是安全的,那么该流量是如何捕获的。
修改 我已经重新阅读了这篇文章,根据我的理解,您必须能够访问服务器的私钥才能执行此操作。
我不明白这个人是怎么做到的,因为我认为他没有这样做。
http://techcrunch.com/2013/11/25/quizup-privacy-violations/
http://kylerichter.com/our-responsibility-as-developers/
答案 0 :(得分:4)
如果你仔细阅读:
[...]此命令的输出是两个文件, testkey.pem (包含 1024位RSA私钥)和testcert.pem(包含自签名 证书)
进一步向下:
选择SSL后,右侧会出现一个输入“RSA”的选项 键列表“。输入以下内容:
10.16.8.5,443,HTTP,C:\ OpenSSL的-的win32 \ BIN \ testkey.pem
您需要编辑服务器IP地址和 testkey.pem路径 合适的。
还有更多:
保护一个人的私钥是任何系统使用的核心 不对称的钥匙。如果您的私钥被泄露,攻击者可以 要么伪装成你,要么他们可以尝试进行解密 如上所述。
基本上在本教程中,作者给予wireshark 私钥来解密流量 - 故意。该私钥必须在服务器上保密,在现实生活中不应该被任何人访问。他提供了一些增强安全性的技巧,比如使用Diffie-Hellman方法交换密钥。
底线:是的,它是安全的。
以下是一些解释公钥加密的精彩视频: http://www.youtube.com/playlist?list=PLB4D701646DAF0817
答案 1 :(得分:1)
您的关注点是人们窥探密码和其他用户信息,还是直接找出API并使用您的网络服务?
只要您拥有该设备(而不是其他一些MITM),在iPhone上窥探HTTPS流量相当简单
http://b2cloud.com.au/how-to-guides/monitoring-an-iphones-https-traffic-part-2
如果您担心人们使用您的API,那么您需要在SSL之上提供某种额外的安全性。如果是这种情况,请告诉我,我会为您推荐几种解决方案。
答案 2 :(得分:0)
首先:你如何定义'安全'? 安全性有许多层面和方面,每种类型的安全性都有“漏洞”。否则一切都将无法访问(或无法访问)。任何类型的安全都有优点和惩罚。
HTTPS“只是”在(普通)HTTP层上添加加密层。这意味着通过HTTPS的所有数据都将在发送方和接收方之间进行加密,但是....接收方可以解密数据的事实,基本上意味着其他任何人都可以做到,为什么呢?因为它只是一种加密/解密机制,所以任何拥有正确密钥/信息的人都可以执行相同的操作。因此,保持私钥真正私密更为重要,因此任何人都能够破解(SSL / TLS加密)通信的机会非常小。
您对https的理解基本上是正确的,并且https是安全的。然而,链接的帖子是访问加密数据的一种非常hacky的方式,他正在为WireShark工具提供一个私钥,这基本上就是它的工作原理。
答案 3 :(得分:-2)
通过使用中间人攻击,我们可以捕获iPHone应用程序和网络之间的流量。 Wireshark是一种捕获网络流量的工具