Bri*_*asa 5 security https networking http network-security
如何保护HTTP请求的部分,比如说他们的会话ID?我知道您可以使用HTTPS,但是您的服务器必须解密所有请求.仅加密请求的所需部分不是理想的吗?
是否有任何框架或资源允许您或告知您如何执行此操作?
And*_*per 10
HTTPS是使用的正确工具.解密数据包的计算负荷非常低.默认情况下,Google在今年早些时候对整个GMail更改为HTTPS,并且他们报告其服务器上用于SSL加密/解密的CPU负载约为1%.
如果您只加密部分流,那么您仍然存在中间人和重放攻击的问题.SSL是防止这些的唯一方法.会话ID是否加密并不重要.如果一个中间人可以捕获它,他可以用它的加密形式重用它,服务器就不会知道它们的区别.
这是一篇关于自GMail切换到100%SSL以来谷歌体验的博客文章.
归档时间:
15 年 前
查看次数:
144 次
最近记录: