5
回答
至今没想到安全的传输加密鉴权方式
华为云实践训练营,热门技术免费实践!>>>   

说一下大前提:我想让用户 只能 通过 我的站点 使用功能,功能都是前端后端交互,http协议传输 数据

纠正一个很多人的误区,https 不能实现 服务端 ---》 客户端 ---》服务端,数据的加密

很多算法都是安全的,但是用安全的算法去加密,就安全了吗?

算法都是开源的,比如用了 rsa 非对称加密,虽然我不能知道  加密的内容是什么,但是我知道传给服务端的是我要传的东西是什么就行了,所以非对称加密也没用。。。。

算法都保存在前端,或前端想办法去拿算法,不管咋整,只要你前端进行了  加密处理,我就能拿到你的加密算法。

还有就是 js混淆 但是通过工具混淆的js算法代码  根本不能用。
  再怎么混淆 也要调用 js里的 function  ,你调啥 我调啥  ,也没卵用。

还有 定时 更换 加密密钥  ,不管咋换都会在前端展示,所以密钥就都会被爬取到。

协议头  也能模拟,  cookie 也能取到   localstorage也能拿到。

求教高手,,,,,,,,

举报
浮生若梦e
发帖于8个月前 5回/380阅

严格意义上说,没有绝对安全的加密算法。但是话又说回来,任何破解都是耗时的,所以天下武功唯快不破。所以银行有一次一密。同时任何行为都是有痕迹的,所以才有数据分析,才有区块链。关键是找到适合自己的

https保证数据不被中间人拦截(但是看https网站的证书级别,像百度之类的,如果证书校验失败,代理拦截的方式会失败)。

但是https不能保证协议被破解,对于浏览器来说,浏览器可以抓包。对于app来说,抓包是不行的。但是app可以hook,实现证书忽略。

绝对的安全做不到,但是安全程度达到一定级别就可以了。比如加密密钥(如果我改了加密算法,你抓到密钥也没有用)。比如足够的混淆,除非通过真实浏览器渲染,否则逻辑分析很复杂。

 

在之后,可以有token产生算法,token产生可以由客户端和服务器握手实现。服务器算法在服务器内部定义,这样你必须突破握手流程,握手流程中可以参杂复杂认证算法。整体破解难度将会非常大。

 

甚至,你改造https,使用非对称方式通信?一旦协议从成熟的公开加密算法改造,多种算法糅合,再有足够混淆。分析是很难的了。我就遇到过。。改了aes算法,然后是汇编层的加密。。。

 

--- 共有 1 条评论 ---
浮生若梦eapp也是可以抓包到的 8个月前 回复

这么说吧,如果你是用户,自己的终端被攻陷了,别有心机的人总会拿到你的数据,也就是说,理论上来讲,将毫无安全可言。混淆、加密都只能够增加门槛。

再说句题外话,就算你的系统做得再牛逼,我到你家里面偷你的手机偷你的密码进行物理攻击,你能够如何抵抗呢?超出技术范围的安全,只会越想越乱,对了,这种行为好像叫什么社会工程学,哈哈哈。

引用来自“virjar”的评论

https保证数据不被中间人拦截(但是看https网站的证书级别,像百度之类的,如果证书校验失败,代理拦截的方式会失败)。

但是https不能保证协议被破解,对于浏览器来说,浏览器可以抓包。对于app来说,抓包是不行的。但是app可以hook,实现证书忽略。

绝对的安全做不到,但是安全程度达到一定级别就可以了。比如加密密钥(如果我改了加密算法,你抓到密钥也没有用)。比如足够的混淆,除非通过真实浏览器渲染,否则逻辑分析很复杂。

 

在之后,可以有token产生算法,token产生可以由客户端和服务器握手实现。服务器算法在服务器内部定义,这样你必须突破握手流程,握手流程中可以参杂复杂认证算法。整体破解难度将会非常大。

 

甚至,你改造https,使用非对称方式通信?一旦协议从成熟的公开加密算法改造,多种算法糅合,再有足够混淆。分析是很难的了。我就遇到过。。改了aes算法,然后是汇编层的加密。。。

 

APP也能抓HTPPS的,根本无解的。

什么东西全可以破解的。

顶部