个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我毫不犹豫地通过使用 Java 中默认 SSLSocketFactory 创建的 Socket 建立的连接发送了密码。对于 SSLSocketFactory.getDefault(),文档说明如下:
Returns the default SSL socket factory. The first time this method is called, the security property
ssl.SocketFactory.provideris examined. If it is non-null, a class by that name is loaded and instantiated. If that is successful and the object is an instance ofSSLSocketFactory, it is made the default SSL socket factory.Otherwise, this method returns
SSLContext.getDefault().getSocketFactory(). If that call fails, an inoperative factory is returned.
我确信 Java 并不是想欺骗我,但由于这是我第一次这样做,我想确保它是我可以依赖的密码加密工具。
编辑:在服务器响应中“Set-Cookie”属性数据的末尾,它显示“HttpOnly”,然后显示“Secure”。我假设这意味着服务器已确认连接是安全的,但我不能 100% 确定。
最佳答案
当您通过默认的 SSLSocketFactory 创建套接字,并且不使用相关系统和安全属性配置任何其他内容时,将使用与 Java 运行时捆绑在一起的一组证书颁发机构。掩盖some details,这是在您的 JRE 安装中位于 lib/security/cacerts 中的信任存储。这些证书包括广泛接受的证书颁发机构的证书,类似于您的浏览器可能使用的列表。
因此,如果您连接的服务器使用通过这些知名机构之一颁发的证书,则该证书将得到验证,否则连接将失败。
这可确保受信任的机构验证您所连接方的身份。只要他们的私钥没有被盗,您就可以依赖证书中绑定(bind)的名称。
但是,您需要验证主机名以确保服务器提供的证书与您期望的主机名匹配。当您使用 URL 类时,这种情况会自动发生,但在直接使用 SSLSocket 时,您需要显式设置 HostNameVerifier。
最后,即使您知道自己在与谁交谈,您仍然必须对向他们透露的信息进行判断。但这不是技术问题。
关于java - 通过默认 SSLSocketFactory 创建的 Socket 发送密码是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59778057/
25
4
0
在我的项目中,我使用的是 java 8,并且在 mu pom.xml 以及我的 eclipse 中配置了相同的配置。但是每当我尝试通过 mvn install 编译我的代码时,它就会抛出以下错误。我也
我需要创建一个 javax.net.ssl.SSLSocketFactory 来建立 TLS 连接但忽略服务器证书的验证。不适用于 HTTP 协议(protocol)。我知道这不是正确的做法,但我需要
我有一个协议(protocol),其中有一个升级到 SSL/TLS 的普通普通套接字。我需要能够控制处理 SSL 握手的超时以及其他参数,例如允许的协议(protocol)版本。 (例如关闭 SSLv
我正在尝试创建自己的 javax.net.ssl.SSLSocketFactory 实现,为了捕获所有由第三方库发送的 HTTP/SSL 请求,并记录它们。这是在该库中调用工厂的方式(它是 commo
我有一个 SSLSocketFactory 和一个 TrustManagerFactory,如下所示: TrustManagerFactory tmf = TrustManagerFactory.ge
我正在构建一个客户端应用程序,它将通过 soap 消息连接到第三方服务器。我正在使用在 JBoss 4.2.3 上运行的 jax-ws 2.1.9 和 jdk 1.6_18。 问题本身是配置为仅用于测
我试图绕过对我的连接的 SSL 检查 - SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefa
我有一个实用程序 SSLSocketFactory 类,它基本上允许您切换是否要信任所有证书和/或由于 JDK 错误而关闭 Diffie-Hellman。我最近添加了提供您自己的 SSLSocketF
根据 http://hc.apache.org/httpcomponents-client-ga/httpclient/examples/org/apache/http/examples/client
java中的SSLSocketFactory类在使用HttpsURLConnection时起到什么作用? java文档没有太大帮助。 是否有任何方法可以将 keystore 和信任库与 sslsock
在我们的产品中,我们使用 SSLSocketFactory 创建到服务器的 SSLSocket。在创建到服务器的套接字时,我们根据产品配置使用两种方法之一: (1) 我们创建一个标准套接字,然后将其包
Spring-Ldap 1.3.1 为了使用 TLS 测试 spring-ldap,我创建了一个接受所有证书的 CustomSSLSocketFactory 类(我知道这个的安全问题)。 运行测试结果
在我们的应用程序中,当应用程序与服务器通信时,我会额外检查证书(公钥固定)(针对 MITMA)。为了与服务器通信,我使用 HttpClient。另外我在生产中有一些代理服务器,所以我需要使用 SNI。
我当前的 TCP 客户端正在使用 org.apache.http.conn.ssl.SSLSocketFactory 构建套接字我正在迁移到 import javax.net.ssl.SSLSocke
我有一台带有自签名证书的服务器。我已经在我的计算机上使用 keytool 导入它并使用 -Djavax.net.ssl.trustStore=blabla 编译参数。当我尝试运行以下代码时: SSLS
我的代码在这里: SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, getAllCerts(),
在 WebSphere 中部署 Spring Boot 应用程序。由于它们的 SSL 配置,我们需要明确指定 SSLSocketFactory 以确保应用程序使用 WebSphere 证书而不是默认的
我正在使用 OkHttp,我需要忽略 SSL 错误以进行应用程序调试。这曾经在 Java 8 中有效。 final TrustManager[] trustAllCerts = new TrustMa
SSLSocketFactory 提供 getDefaultCipherSuites(默认情况下在套接字上启用的密码)和 getSupportedCipherSuites(如果需要,可以启用的密码)。
我创建了一个自定义 SSLSocketFactory 类并将其设置如下 ldapEnv.put(Context.SECURITY_PROTOCOL, "ssl"); ldapEnv.put(FACTO
我是一名优秀的程序员,十分优秀!