gpt4 book ai didi

.net - 为什么不信任所有的 http 证书

转载 作者:太空宇宙 更新时间:2023-11-03 13:09:22 25 4
gpt4 key购买 nike

我编写了一个资源管理器处理程序,用于为我组织中的几个不同站点提供资源 (js/css)。大多数网站都是内部网站,但也有一些是外部网站并使用 ssl。 QA/Dev 站点没有与证书相同的域名,因此需要我使用回调进行自定义验证。我理解我可以做一些事情,例如检查我的环境并仅在不在生产环境中时才返回 true,或者检查域名并在它与我的 qa/dev 域匹配时返回 true。我的问题不是怎么做,而是为什么?为什么接受我的资源处理程序的所有证书对我来说是不安全的?用户实际上可以做什么恶意的事情?

ServicePointManager.ServerCertificateValidationCallback += ValidateRemoteCertificate;
public static bool ValidateRemoteCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors policyErrors)
{
return true;//Why not do this?
}

更新:我想我可能需要对处理程序的作用做一些说明。所有通过此处理程序的资源请求都经过哈希处理。处理程序解密请求并通过从程序集中提取资源或通过请求项目拥有的本地资源来提供资源。域不匹配发生的唯一时间是当我的处理程序请求该本地资源时。回想起来,我想也许我应该以不同的方式处理这个问题,但是关于我最初的问题,我仍然没有看到 MITM 攻击如何应用并且感觉在这种情况下接受所有证书是安全的,但我不是 100%为什么这就是我在这里提出它的原因。 :)

最佳答案

这违背了 HTTPS 的目的。

如果您接受所有证书,任何人都可以使用自签名证书进行中间人攻击,并且一切正常。

关于.net - 为什么不信任所有的 http 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10352401/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com