談?wù)摰?a href="/zx/ssl/" target="_blank" style="color:blue;font-weight:700;">SSL證書(shū)想必大家都不陌生,因?yàn)樗梢宰尵W(wǎng)站變得更加的安全。那它會(huì)帶來(lái)什么樣的安全呢?
在此之前我們先舉個(gè)簡(jiǎn)單的例子,你登陸新浪微博,你登陸知乎,如果微博和知乎都沒(méi)有啟用ssl證書(shū)的https協(xié)議。你提交的賬號(hào)密碼是明文的,那么連md5解密可能都不需要。攻擊者直接通過(guò)監(jiān)聽(tīng)你路由器的就可以了。在不影響你登陸和訪問(wèn)的時(shí)候,他就會(huì)知道了你的賬號(hào)密碼是明文的。
有些人可能就覺(jué)得奇怪了,現(xiàn)在的網(wǎng)站密碼不都是md5-16位甚至32位加密嗎?沒(méi)錯(cuò),加密的是數(shù)據(jù)庫(kù)里保存的密碼,通過(guò)加密因子把你的明文密碼加密后和數(shù)據(jù)庫(kù)碰撞,匹配就登陸成功了。
但是監(jiān)聽(tīng)你的路由網(wǎng)關(guān)發(fā)出去的賬號(hào)密碼報(bào)文是明文的呀!除了監(jiān)聽(tīng)你的路由網(wǎng)關(guān),攻擊者還可以監(jiān)聽(tīng)數(shù)據(jù)中心的新浪微博、知乎服務(wù)器入口。
如果網(wǎng)站安裝了ssl證書(shū),啟用了HTTPS訪問(wèn)。那么在本地登陸提交的賬號(hào)密碼已經(jīng)加密了,而且是256位以上的加密,所以它的安全也就體現(xiàn)在這里。