SSL是否足够安全,可以在查询字符串中使用敏感数据(如密码)?是否有任何额外的选项可以实施?
我了解公钥密码学的概念,HTTPS 在证明身份方面对我来说非常有意义。
我不明白的是它如何使用户的请求和站点的响应不可读。该站点的公钥是公开的——所以任何人都不能记录网络流量、捕获响应并使用每个人都可用的公钥对其进行解码吗?如果没有私钥,他们将无法执行中间人攻击,但为什么他们不能读取用户得到的响应?
反之亦然:用户可能在初始连接时将他们的公钥发送到服务器,那么记录用户网络流量的人不能解密所有请求吗?
我想我要问的是:双向公钥密码学如何提供身份证明以外的任何东西?