Web-Services

在使用公鑰/私鑰對 (RSA) 時,建議使用哪些技術來防止 MITM 攻擊?

  • November 22, 2012

我目前有一組 Web 服務,將介面暴露給各種不同的客戶端類型和角色。身份驗證通過公鑰/私鑰對 (RSA) 處理,僅用於驗證 URL 作為 HTTP 標頭中的簽名。

此時 HTTP 正文未加密(我使用 2048 位的私鑰/公鑰,它只允許我加密少量資訊),因此 RSA 不夠安全,因為伺服器無法再向自己證明沒有中間人。我也可以加密 HTTP 正文,但是性能呢?

我的問題是:在這種情況下,建議使用哪些技術來防止 MITM 攻擊?

如果您不加密整個經過身份驗證的會話,那麼使用 HTTPS**絕對沒有意義。**如果您通過不安全的通道傳輸會話 ID,那麼攻擊者可以使用它來進行身份驗證(如 Firesheep)。此外,您還違反了OWASP a9

從性能的角度來看,SSL 最昂貴的部分是初始握手。這是記憶體的,每個客戶端只執行一次。

要記住的另一件事是,如果你想阻止SSLStrip風格的攻擊,那麼你應該設置STS-Header

引用自:https://serverfault.com/questions/240479