https 下如何保护服务端返回的敏感数据

2023-09-13 21:53:09 +08:00
 voidmnwzp

单向认证下,客户端的信息传输虽然被加密,但服务端返回的数据还有可能被中间人获取,如果解决这种情况? 目前想到的就是遇到敏感信息请求,前段在请求中附带公钥,服务端返回数据时用公钥加密后再返回

1020 次点击
所在节点    程序员
13 条回复
musi
2023-09-13 21:56:52 +08:00
那前端的私钥是怎么来的
chendy
2023-09-13 21:57:58 +08:00
单向认证,单向的是认证,只认服务端不认客户端,不是只加密请求不加密响应啊…
w99wjacky
2023-09-13 22:01:35 +08:00
参考 TLS
hxndg
2023-09-13 22:03:17 +08:00
中间人不能获取服务器的返回数据吧?
voidmnwzp
2023-09-13 22:03:42 +08:00
@chendy 返回的数据是用私钥加密的 ,中间人也有可能获取到服务器公钥进行解密吧,虽然无法篡改但也能看到
XiLingHost
2023-09-13 22:07:39 +08:00
@voidmnwzp 实际上,是不行的,你可以了解一下 DH 算法
Juszoe
2023-09-13 22:11:05 +08:00
HTTPS 后续是用的对称加密,不存在你说的这种问题,除非客户端本身被入侵了(或者安装了某些软件)
raysonx
2023-09-13 22:23:10 +08:00
传输的内容的用客户端和服务端两端协商的对称密钥(比如 AES )加密的。
jones2000
2023-09-13 22:26:51 +08:00
用 probuffer 压下,起码不是明文传输了。
cccer
2023-09-13 22:27:05 +08:00
建议了解一下基础的 HTTPS 加密流程吧,证书不用来加解密用户数据。
IvanLi127
2023-09-13 22:40:55 +08:00
不会被中间人获取的。。除非用户终端信任了中间人的证书
voidmnwzp
2023-09-13 22:45:09 +08:00
看来是我搞错了 这贴可以沉了
lasuar
2023-09-13 22:49:00 +08:00
1. 中间人拿到的加密数据 无法用服务器证书公钥破解,而是用事先双方交换的对称算法秘钥(先了解 HTTPS 的传输过程);
2. 中间人想要看到明文数据,只有从连接建立开始的时候就介入了,拿到了对称秘钥,才能解密数据。怎么介入?搜一下抓包软件(如 fiddler 、charles )的原理

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/973533

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX