gpt4 book ai didi

authentication - SSL 是否足以保护请求及其 header ?

转载 作者:太空宇宙 更新时间:2023-11-03 13:10:26 26 4
gpt4 key购买 nike

我问这个是因为我正在开发一个应用程序,在该应用程序中,X-AUTH-TOKEN 可以从一个请求复制到另一个请求并冒充另一个人。这让我很紧张,但有人告诉我,因为我们将使用 HTTPS,所以我们不必担心任何事情。

所以,我的问题是:信任 SSL 是否足以防止窃取用于身份验证/ session 的 header ?

谢谢,

最佳答案

如果有人可以拦截流量,使用 HTTPS 加密确实可以防止他们窃取您的身份验证 token 。它不一定能防止中间人攻击,除非客户端启用对等证书检查。

This question from the security stackexchange描述了如何对 SSL 实现 MITM 攻击。如果我可以说服运行 HTTPS 的客户端连接到我的服务器,并且他们接受我的证书,那么我就可以窃取您的身份验证 token 并重新使用它。对等证书验证有时设置起来有点麻烦,但它可以让您更有可能连接到的人就是他们所说的人。

“足够好”是一个相对定义,取决于您的偏执程度。就我个人而言,我很高兴我的连接足够安全并启用了 HTTPS 和对等证书验证。

您的身份验证 token 可能也会超时,因此攻击窗口会受到时间限制。例如,OpenStack 身份验证 token 默认在 24 小时内有效,然后您需要获取一个新 token 。

关于authentication - SSL 是否足以保护请求及其 header ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20624586/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com