HTTP 通信中有什么方式防止重要信息被监听窃取

2018-07-12 18:52:32 +08:00
 cc959798

比如浏览器的 seesion_id,如果对方得到了 session_id 理论上是有了免登陆的能力,还比如 app 中授权用的 token,如果被拿到就也就不用通过授权验证。 有什么好的方式解决这个问题呢? https 是一个,除了这个方式呢?

13176 次点击
所在节点    Android
52 条回复
usedname
2018-07-12 22:20:25 +08:00
这种帖子也要来水?先自己多看看书多想想再来问吧。
zj299792458
2018-07-12 22:24:30 +08:00
对称加密呗,key 用时间戳加其他固定的玩意儿,保证每次加密后的 session id 不一样。
honeycomb
2018-07-12 22:41:39 +08:00
@cc959798 其它方法肯定比 HTTPS 的代价高(除非你这边有与之匹配的特殊情况,比如网银的 HTTPS 里再套一层加密)
liuminghao233
2018-07-12 22:59:32 +08:00
自己写客户端
自己写加密
使用 rsa+aes

用 http 传密文







恭喜你发明了 https
WuwuGin
2018-07-12 23:03:34 +08:00
关于会话安全,php 官方有自己的基础建议,虽然你不一定用 php,但是道理是通的。详情: http://php.net/manual/zh/features.session.security.management.php
Raymon111111
2018-07-12 23:05:41 +08:00
https
caola
2018-07-12 23:07:56 +08:00
@cc959798 还在怀疑 https 的效率?你看看现在还有多少网站是 http 的?
再过一两年浏览器都默认走 https 了,如果想访问 http 的地址,还得自己手动在域名前输入协议的部分。
tiaod
2018-07-13 00:28:25 +08:00
@caola 然而大部分支持 https 的网站都设置了 http 跳转 https,于是又给你跳回去了
caola
2018-07-13 01:20:19 +08:00
@tiaod hsts preload 了解一下,或者使用你的浏览器访问一下 cao.la ,在现在的浏览器正常的情况,你永远无法回到 http,包括子域名
ca1123
2018-07-13 02:06:52 +08:00
https 和可信 CA。但是可信 CA 本身就是个笑话。你到底相信 CA 什么,在 NSA 或者土鳖面前的节操么? NSA 会往算法里埋雷,土鳖根本就会要求在他那儿保存私钥。
caola
2018-07-13 02:40:00 +08:00
@ca1123 可信的 CA,至少比完全不加密的 http 强的不止是一点点,
关于 NSA 的算法,已经有代替者 25519,在 tls1.3 和 quic 下默认就是它,未来将会取代 NIST 系列的算法
TheKiller
2018-07-13 03:07:47 +08:00
@bumz HPKP 已经被抛弃了 不再建议使用
chrom 67 也将完全移除支持
defel
2018-07-13 03:16:35 +08:00
http 通知对方拿硬盘来拷贝😏
IvanLi127
2018-07-13 03:18:19 +08:00
自己搭网络
ca1123
2018-07-13 03:56:24 +08:00
@caola 你怎么知道新的没有雷?
msg7086
2018-07-13 04:15:59 +08:00
@ca1123 这种没有意义的问题问出来有什么意义。
你自己发明出来的算法还能问你怎么知道那不是你第二人格想要偷取你第一人格的数据。
连可信的公共领域算法和可信的机构都不相信了,那世界上还有什么可以相信的。
25519 本来就是人们发现 NSA 插手以后,在野外随便找可靠曲线的时候找到的一个已经发布了 8 年而且根本没什么人关注的曲线。如果 25519 里面有 NSA 插手,就两种可能,NSA 能预知未来,知道 8 年后人们发现他们的后门然后转用 25519,所以坐时光机回去联系作者加入后门。或者作者能预知未来,知道将来国家制定的标准会被 NSA 加入后门,所以把 8 年以后的后门放进他自己的曲线里。

你觉得哪种可能性大点。

人与人之间没有信任还活什么。你出去吃个饭相信老板不会毒死你吗。
zjyl1994
2018-07-13 07:29:39 +08:00
HTTPS 即可,不要重新发明轮子
beginor
2018-07-13 07:47:44 +08:00
酸酸乳做代理,负责客户端与服务端的通讯
scmod
2018-07-13 08:31:06 +08:00
@msg7086 233~
但是 sessionid 别人一般拿不到啊...登录后重新发个 sessionid 防下被坑,好像一般不会有什么问题的样子
youxiachai
2018-07-13 10:44:50 +08:00
lz 要准备重新发明 https 了...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/470319

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX