那些遇到过的问题

在Web应用程序中,SRP是SSL/TLS(服务器证书)的安全替代方案吗?

mar*_*elf 3 security ssl meteor

Meteor使用安全远程密码协议(SRP)对用户进行身份验证.Meteor文档没有提供有关安全级别的任何进一步声明,但我想知道SRP是否可以在不需要SSL/TLS的情况下提供安全性?SRP的维基百科页面指出:

......一个窃听者或中间的人无法获得足够的信息,以便能够在没有与各方进行进一步互动的情况下蛮力猜测密码......

我承认我对安全性知之甚少,但我找不到有关其使用的任何建议.

非常感谢

Jer*_*fin 9

SRP 用于交换密码.更准确地说,它纯粹是为了让通信保证两端都拥有相同的共享秘密,而不允许窃听者或中间人以某种方式猜测共享秘密.这就是它所做的一切:双向认证,所以如果/当(例如)我登录到服务器,我知道服务器真的是我想登录的那个,并且它知道我是一个用户正确的密码.

它并没有,但是,(甚至企图)在各方如SSL/TLS之间的加密连接.虽然有人在收听时无法获得有关我所在位置登录所涉及的密码的足够信息(或模仿服务器以供其他人登录),但它不会(自身)加密进一步的通信 - 除非你做的不仅仅是SRP本身,任何其他人仍然能够读取通过连接传递的所有数据.

归档时间:

查看次数:

824 次

最近记录:

9 年,2 月 前
相关归档
使用ssl访问流浪沙箱上的apache(端口转发) 14
如何在Heroku Node Express应用程序中使用LetsEncrypt SSL证书? 13
节点服务器关闭然后重新启动时出现奇怪的socket.io行为 9
如何将meteor连接到现有的后端? 7
为什么Meteor.Accounts会返回"没有方法'onCreateUser'"? 4
随机 SSL 日志“AH01998:连接已关闭与子进程中止关闭”apache 4
Xamarin.iOS / Akavache /加密缓存工作示例 4
C#中的Websphere MQ:在代码中设置SSL密钥库密码的位置? 3
配置与静态属性,安全性问题 2
React 并将 jwt 令牌存储在本地存储中 1
难疑归档
应该在JavaScript比较中使用哪个等于运算符(== vs ===)? 5666
如何在Python中将字符串解析为float或int? 2108
如何逐行读取文件到列表中? 2028
如何在不安装Ms Office的情况下在C#中创建Excel(.XLS和.XLSX)文件? 1804
Git push需要用户名和密码 1327
UnicodeEncodeError:'ascii'编解码器无法对位置20中的字符u'\ xa0'进行编码:序数不在范围内(128) 1222
在jQuery中序列化为JSON 1189
如何从git存储库中删除目录? 1138
Vim最有效的捷径是什么? 1127
"静态"在C中意味着什么? 1062