既然抓包工具可以抓取https的明文數(shù)據(jù),那么https加密傳輸?shù)囊饬x是啥?
當(dāng)前位置:點(diǎn)晴教程→知識(shí)管理交流
→『 技術(shù)文檔交流 』
看到網(wǎng)上有人問這個(gè),這里記錄和分享下自己的回答。 需要明確的是,https加密防的是“第三方”,或者說防范的是“中間人”。 很多人說的所謂代理工具可以抓取https通信的明文,都是抓取的自己和服務(wù)器的通信,而非監(jiān)聽別人的通信,在這些場(chǎng)景中參與通信的主體仍然只涉及兩方,并沒有引入“第三方”或者說“中間人”。 另外你會(huì)發(fā)現(xiàn),自己裝了一個(gè)代理工具抓包,一定要先安裝它的證書,它才能抓包。這本質(zhì)是你給工具授權(quán)了,你允許它抓了,所以它才能抓,而且抓的也是你自己的數(shù)據(jù),不是別人的數(shù)據(jù)。 一個(gè)陌生人發(fā)你一個(gè)證書文件讓你裝,你敢裝嗎?猜測(cè)你應(yīng)該是不敢的,你不裝,那么他作為你和服務(wù)器之外的“第三方”,有再牛逼的抓包工具都抓不了你的https明文數(shù)據(jù),然后你和服務(wù)器間的通信就是安全的。 這就是https加密通信的意義。 -END-閱讀原文:原文鏈接 該文章在 2025/4/29 11:47:51 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
