即使客户端通过 SSL 与服务器通信,URL 也能被嗅探吗?我之所以问,是因为我正在通过 URL 进行远程登录并重定向到物理上不同的服务器,并且想知道通过 SSL 保护通信是否会防止重放攻击等。
问问题
1251 次
4 回答
7
嗅探器将知道您请求的服务器的 IP(可能还有主机名),以及传输信息的时间/数量,但仅此而已。
是的,如果您不信任受损的根证书,SSL 可以防止重放(和中间人)攻击。
于 2009-09-18T07:05:52.710 回答
2
攻击者可以观察到主机名(通过观察您的 DNS 流量)和您要连接的 IP 地址。但是,URL 的用户名、密码和路径部分不应该可用。
当然,客户自己总是可以访问这些信息。
于 2009-09-18T07:12:31.527 回答
2
网络嗅探器需要公钥和私钥来解密 SSL 流量。
于 2009-09-18T07:23:46.153 回答
1
SSL 在两台机器之间建立了一个加密会话,然后在该加密连接上运行“普通”HTTP,这样他们就可以看到你连接到的物理机器,但除此之外,在你的连接中根本看不到任何东西。
正如其他人所说,他们可以查看最有可能确定主机名的 DNS 请求。
还有一些产品通过在客户端计算机上安装新的根证书并让代理服务器代表您建立连接,然后为使用他们生成的站点生成“假”证书,从而绕过商业环境中的这种保护。用于与浏览器建立会话的 root 密钥,因此您似乎与服务器建立了安全的 SSL 连接,但实际上它仅与代理连接。您可以查看连接的证书链以确定是否发生这种情况,但很少有人会打扰。
所以要回答你的问题 - 没有完整的 URL 不能被嗅探 - 但是通过访问客户端计算机,可以部分地做到这一点。,
于 2009-09-18T07:42:54.227 回答