HTTPS和MITM攻击

Question

我计划在HTTPS中运行我的应用程序的登录部分，从登录屏幕开始。一旦用户登录并完全在HTTPS中继续其会话，如何执行MITM攻击？这种攻击不是依赖于弄清楚两党在说什么吗？

我正在使用带有WCF服务的asp.net，稍后将移植到Azure。

谢谢。

Answer 1

如果您的登录会话是使用HTTPS加密的，那么您就可以安全地抵御MITM攻击。客户端将使用服务器的公钥将加密的数据发送到服务器，而服务器的公钥只能使用服务器的私钥解密。然后，客户端和服务器将使用此安全通道就用于通信的密钥达成一致。

MITM攻击者无法获取私钥，因为它是私有的。他们不能提供目标域的证书，因为证书只能从CA获得，而且(理论上)您的浏览器信任的CA不会签署域的证书，除非他们证明自己拥有证书。他们不能得到会话密钥，所以MITM攻击是不可能的。