ログイン画面から始めて、アプリのログイン部分をHTTPSで実行する予定です。ユーザーがログインして完全にHTTPSでセッションを続行すると、MITM攻撃をどのように実行できますか?この種の攻撃は、両者が何を言っているかを理解することに依存していませんか?
WCFサービスでasp.netを使用していますが、後でAzureに移植します。
ありがとう。
質問する
277 次
1 に答える
2
ログインセッションがHTTPSで暗号化されている場合は、MITM攻撃に対して安全です。クライアントは、サーバーの公開鍵を使用して暗号化されたデータをサーバーに送信します。公開鍵は、サーバーの秘密鍵でのみ復号化できます。クライアントとサーバーは、この安全なチャネルを使用して、通信に使用する秘密鍵について合意します。
MITM攻撃者は秘密鍵であるため、秘密鍵を入手できません。証明書はCAからのみ取得できるため、ターゲットドメインの証明書を提示することはできません。また、(理論的には)ブラウザが信頼するCAは、ドメインを所有していることを証明しない限り、ドメインの証明書に署名しません。彼らはセッションキーを取得できないため、MITM攻撃は不可能です。
于 2012-05-03T00:47:33.900 に答える