为了实现web信息,尤其是用户名和密码的加密传输,使用RSA加密策略可以解决大部分问题,这里说的大部分,是因为RSA不能下面出现的问题。
这个原理简单描述为下:
1. 在server端生成一对RSA密钥,包括public key 和 private key
2. public key传输给客户端浏览器, 客户端浏览器用public key加密敏感数据,比如密码;加密后的密文传回给server,然后server用 private key解密。
3. 注意private key只保存在server端,而public key则分发给所有人。 由于 private key只有server知道,所以密文即使被截获了,也无法解开。
这个解决方案其实还是非常好的,至少他防住了大部分的攻击,但是为什么说它是无法替代https,是有缺陷的呢?
因为这个方案无法防止中间人攻击 (man-in-the-middle)。
攻击过程如下:
1. 攻击者通过MIM(比如arp欺骗等)劫持server与客户端浏览器之间的http包
2. 攻击者生成一对伪造的RSA密钥: fake public key/fake private key
3. 攻击者将js文件中的public key替换为fake public key,并传输给客户端浏览器
4. 客户端浏览器用 fake public key加密敏感数据,比如密码,并将加密后的数据传输给攻击者
5. 攻击者用fake private key解密,获得明文密码等
6. 攻击者用server的public key加密明文数据,并传送给server
整个过程中不会出现任何提示,而用户的明文数据则被窃取了!
但是RSA还是不错的,这里给出了方法。
下载链接:js+java
143
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
