0

使用 HTTPS 时是否可能进行 MITM 之类的攻击?

我知道如果连接以 HTTP 开始然后被重定向到 HTTPS,它们是可能的,但是如果初始连接本身使用 HTTPS 怎么办?

我正在实现一个使用 HTTPS 连接到服务器的客户端,并想知道我是否需要明确确定服务器的真实性(不是,不是验证客户端的服务器就是它所说的身份,而是客户端确保服务器就是它所说的) - 我在 iOS 中这样做,其中有一个 API 可用,这使得它很容易做到,但我不确定是否有必要这样做,如果我这样做,那么如何测试它有用。

谢谢

4

1 回答 1

0

MITM SSL 绝对有可能,如果您实际上不检查服务器的证书,这通常很容易。

考虑有人在咖啡店使用您的应用程序,恶意员工可以控制无线路由器。他们可以监视到您的服务器的 HTTPS 连接并将它们重定向到本地 MITM 程序。例如,该程序使用自签名 SSL 证书接受连接,然后打开与您的真实服务器的连接并代理它们之间的流量。

只要检查服务器证书的有效性,这种简单的攻击就会被挫败。就这样做吧。:-)

已经证明有更复杂的攻击,在特殊情况下,即使您检查证书,MITM 仍然可以建立 SSL 连接,但是使这些攻击起作用的环境足以让大多数开发人员不必担心他们。

于 2012-11-13T00:45:26.737 回答