gpt4 book ai didi

SSL MITM 和 java 小程序

转载 作者:太空宇宙 更新时间:2023-11-03 15:08:45 25 4
gpt4 key购买 nike

我目前正在从事一个项目,该项目涉及在客户端(浏览器)构建数字堡垒,以减轻对 SSL 的 PKI 基础设施的中间人攻击。尽管它们有多种可能对 SSL 连接发起中间人攻击,但我打算重点关注 PKI 基础设施的问题,并考虑系统的性能。

在做了一些研究之后,我认为我要完成以下任务

  1. 通过检查证书的有效期和证书的序列号是否存在于 CRL 列表中来确定证书的有效期
  2. 禁用 MD5 进行证书检查
  3. 确保客户端(浏览器)连接的服务器是真实服务器。这可以通过 URL 或简单地通过 DNS 查找来实现吗?因为我认为 URL 和 DNS 在某种程度上都不安全。我正在考虑这个网络服务器指纹识别问题,但我仍然需要一个存储库来检查。我还能使用什么??
  4. 证书指纹。它们是否是我可以查找证书指纹的任何受信任的证书哈希或指纹存储库??。

我还需要检查什么来阻止中间人攻击?

我打算使用浏览器中嵌入的 Java Applet 来处理此任务,因此我知道如果没有网站的登录页面,就无法连接到 Web 服务器。问题是我如何使用我的 Applet 嵌入式页面与服务器建立测试连接以获取服务器的证书,或者更好的是,是否可以使用网站的登录页面建立连接并在服务器发送证书后终止 SSL 握手所以 Applet 只是进入证书存储区检索证书并分析证书以防止中间人攻击。

正如我所说,我想使用 java 构建解决方案,因为人们普遍认为 java applet 比 javascript 更快。而且浏览器扩展主要依赖于平台,而 java Applets 则不然。这可以作为性能衡量标准吗??

最佳答案

Ascertaining the validity period of a certificate by checking its validity period and checking if a certificate's serial number exists in a CRL list

浏览器已经这样做了。

Disabling MD5 for certificate checking

为什么?如果证书有 MD5 散列,您必须检查它。删除它如何减轻 MITM 攻击!这没有意义。

Ensuring the server the client(Browser) is connecting to is the real server.

浏览器已经这样做了。它内置于 HTTPS 协议(protocol)中。

Can this be achieved by a URL or by simply by doing a DNS lookup?, because i think both URL and DNS are not also secured to some extent.

不,不,不,不。

I'm thinking of this web server fingerprinting thing but yet i still need a repository to check with. What else can i use?

你问的一开始就没有意义。

Certificate Fingerprint. Are they any certificate hash or fingerprint repository that are trusted that i can lookup the fingerprints of certificate?.

呃,MD5 散列,如果你正忙于尝试绕过的话,数字签名已经完成了。

在浏览器中使用小程序来保护浏览器的建议也没有意义。我认为您遇到了一个没有问题的问题,很多自相矛盾的需求,在某些情况下毫无意义,以及很多关于如何实现它的糟糕建议。

关于SSL MITM 和 java 小程序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17942074/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com