在HTTPS安全模型中,最薄弱的部分是浏览器中的可信CA列表.有很多方法可以让用户将额外的CA注入到列表中,用户会信任错误的人.
例如,公司中的公共计算机或PC.管理员可能会强迫您信任自己发布的CA,但使用HTTPS中继的HTTPS代理服务器可能会非常不安全.因此,他们将能够发送您的消息,登录名和密码,甚至浏览器也会告诉您,您正在使用受信任的SSL连接.
在这种情况下,Web应用程序开发人员可以做些什么来保护用户和系统?
作为 Web 应用程序开发人员,您对此无能为力。
这个问题需要进一步解决。
如果地球另一边的某个人想要:
A。在某人的计算机上放置一个虚假的根 CA
b. 在该 CA 下为您的域颁发证书
C。冒充您的网站
d. 将您域的某人的本地 DNS 条目指向不同的 IP
上述步骤均不涉及或咨询您的应用程序,因此良好的网络管理和安全性非常重要。
除此之外,也许有人在他们的个人网络上本地执行此操作是有正当理由的。我是谁来阻止他们?
这本质上就是企业网络代理过滤器所做的事情,并且他们有权利这样做。
至于阻止恶意者采取上述步骤,这需要放在客户计算机的管理员身上。
| 归档时间: |
|
| 查看次数: |
1746 次 |
| 最近记录: |