不使用SSL证书的真正风险是什么?
注意,我不是在问是否应该使用SSL证书,因为如果可能的话,我将始终使用SSL证书。安全总比抱歉好,但现在我正在使用PHP网络套接字进行一次小组聊天,而且似乎没有任何方法(我能够找到)来使web套接字与我现有的SSL在同一个web应用程序上工作,所以现在我正在构建它,没有SSL,并希望找到一种稍后加密它的方法,但这让我想到.
我知道这意味着在浏览器和服务器之间来回发送的数据不是加密的,黑客可以劫持会话,该会话是为我的web应用程序的其余部分进行身份验证的,它是由SSL保护的,但我正在努力更好地了解这一过程的实际生命危险。就上下文而言,我的小组聊天是一个网络应用程序的一部分,狗的配戴者用来跟踪客户,新郎和工作人员。
- 黑客攻击我的群聊(例如)或其他不使用SSL的网站的几率有多大?黑客会寻找首选的目标吗?或者任何旧址都可以吗?
- 假设黑客能够拦截我的群聊并劫持会话,目的是什么?黑客会用这样的力量做什么?
- 这有多容易?黑客还需要克服哪些其他障碍才能拦截和读取浏览器和服务器之间传递的数据?作为开发人员,除了SSL之外,我们还能做些什么来减轻这种攻击吗?
回答 1
Webmasters Stack Exchange用户
发布于 2022-11-14 01:52:31
未加密连接的
风险包括.
- 本地网络(或wifi网络)上的任何人都可以使用软件工具查看网络中的内容。而且聊天不会是私密的,尽管如果聊天是公开的,它已经不是私人的。
- 人们可能会通过欺骗登录的人来向没有登录的聊天中注入信息。
- 当用户登录到一个伪造的站点,将数据从用户转发到您的站点时,中间的人就可以完成。因为用户没有被迫连接到实际的站点。SSL是注册到您的网站,这意味着他们是连接到您。
这可能不是一个完整的清单,但它们是脑海中浮现的。
为什么和谁:作为信息是关于狗的梳理,它不会吸引任何对金钱感兴趣的人。但也有一些人想成为黑客,他们可能仅仅因为想学习如何去做而试图做一些事情。这些脚本孩子可以非常巧妙,但本质上并不是恶意的。所以你对他们来说是个很有吸引力的麻烦,但不像他们用未加密的数据来欺骗或修改游戏规则那样吸引人,IE给自己无限的健康,看看其他人在地图上的位置,然后传送到他们的位置,基本上就是游戏中矩阵中的近地天体。
网站管理员除了SSL
还有什么工具?
您可以使用javascript对单密钥加密或公钥和私钥加密对进行加密。由于登录从您的SSL主机开始,您可以向登录的人提供加密密钥.所以他们会从他们已知的IP上向你发送加密消息,而你会用相关的密钥将加密的消息发送给他们的IP。
旧的答案. https://stackoverflow.com/a/56111213/483536
var _secretKey = "some-unique-key";
var simpleCrypto = new SimpleCrypto(_secretKey);
var plainText = "Hello World!";
var chiperText = simpleCrypto.encrypt(plainText);
console.log("Encryption process...");
console.log("Plain Text : " + plainText);
console.log("Cipher Text : " + cipherText);
var decipherText = simpleCrypto.decrypt(cipherText);
console.log("... and then decryption...");
console.log("Decipher Text : " + decipherText);
console.log("... done.");SSL等效于Javascipt
这对-- AES加密算法(也称为Rijndael算法) --比我发现的https://www.folkstalk.com/2022/09/javascript-string-encryption-and-decryption-with-code-examples.html要复杂一些.基于由google代码https://code.google.com/archive/p/crypto-js/、Github、https://github.com/brix/crypto-js和其他人存档的密码js。
https://webmasters.stackexchange.com/questions/140847
复制相似问题
腾讯云开发者
