2

我已经读到,当仅使用 SSL 登录时,您并不能真正保护您的 API,但在我看来,像HMAC这样的东西可以启用它:

  • 客户端通过 SSL 连接,发送凭据,并接收会话 ID cookie 以及会话密钥。
  • API 调用是通过普通的旧 HTTP/whatever 进行的,但包括时间戳 + 随机数和 (payload+timestamp+nonce+secret) 的哈希值,可以由服务器重新生成以验证客户端是否拥有密钥并防止重播。

我错过了什么让这不安全?

4

1 回答 1

0

仅将 HTTPS 用于密码输入然后回退到 HTTP 的站点容易受到多种攻击,包括会话 cookie 窃听(又名 Firesheep)和 MITM 攻击。这就是为什么这些站点不安全,安全人员建议使用站点范围的 SSL;仅使用 HTTPS 输入密码的网站“做错了”

于 2013-02-14T05:37:54.573 回答