不需要为https加密数据？

Question

我正在使用中间人代理监控来自我的Android手机的网络流量。作为其中的一部分，我在我的手机上安装了一个证书(由我的服务器签名)，我可以看到所有的应用程序都以明文形式发送密码等敏感信息。

我知道SSL协议负责建立安全的通信，但这是否消除了对数据进行加密的需要？

Answer 1

所以这里有两个问题：

它是否消除了在所有情况下都需要加密数据的需求？不是的。

它是否消除了在大多数情况下加密数据的需要？是。

为了理解这些答案，我们需要讨论一件重要的事情:密钥分发。

您将如何将密钥提供给您的用户(发出请求的用户)。如果你有一个可靠的旁路，那么就有可能在旁路中发送密钥。这意味着，即使攻击者可以解密TLS流，任何加密并通过TLS发送的数据也是不可解密的。

对于一般的网站来说，没有可靠的旁路。对于一般的网络服务，也没有这样的服务(像sshd这样的实现只是采用了“假设第一个连接是好的”的尽力而为的方法)。

如果您的数据足够重要，足以证明密钥的旁路分发是合理的(最好是离线)，那么在TLS中添加的加密可以保护您免受某些攻击向量的攻击。

然而，问问你自己，对于你的用例来说，这是否值得。所有的安全性都是对可用性和简单性的权衡...