1. घर
  2. सवाल और जवाब
  3. एसएसएल मेरे एएसपीएनटी एमवीसी 3 वेब एप्लिकेशन

एसएसएल मेरे एएसपीएनटी एमवीसी 3 वेब एप्लिकेशन

2012-04-25 20 views
5

में पोस्ट अनुरोध की क्वेरी स्ट्रिंग और बॉडी दोनों को एन्क्रिप्ट करता है। एसएसएल का उपयोग करते हुए मेरे पास एक प्रश्न है जो क्वेरी स्ट्रिंग और पोस्ट अनुरोध निकाय दोनों को एन्क्रिप्ट करेगा जिसमें फ़ील्ड मान होते हैं?एसएसएल मेरे एएसपीएनटी एमवीसी 3 वेब एप्लिकेशन

और अगर जवाब है हां ,,

तो इसका मतलब यह है कि मैं एक attaker 99% से नहीं दोनों क्वेरी स्ट्रिंग & पोस्ट शरीर अनुरोध संशोधित करने में सक्षम हो जाएगा विश्वास हो सकता है?

बीआर

स्रोत

2012-04-25 john G

+0

के संभावित डुप्लिकेट (http [HTTPS के साथ, यूआरएल और अनुरोध हेडर संरक्षित के रूप में अनुरोध शरीर है कर रहे हैं?]: //stackoverflow.com/questions/8858102/with-https-are-the-url-and-the-request-headers- संरक्षित-as-the-request-body-is) – Bruno

उत्तर

0

आप SSL का उपयोग कर रहे हैं, तो हां, तो आप यकीन है कि एक हमलावर क्वेरी स्ट्रिंग या पोस्ट डेटा को संशोधित करने में सक्षम नहीं होगा हो सकता है। SSL किसी भी सर्वर को सफलतापूर्वक प्रतिरूपण करने से रोकने के लिए सर्वर को क्लाइंट को प्रमाणीकृत करता है। यह सर्वर की निजी X.50 9 कुंजी का उपयोग करके आगे भेजे गए प्रत्येक संदेश को भी एन्क्रिप्ट करता है, ताकि कोई मध्यस्थ उन्हें समझ सके।

स्रोत

2012-04-25 02:51:12 McGarnagle

+0

भले ही हमलावर को उपयोगकर्ता नाम का उपयोग करके प्रमाणीकृत किया गया हो और मेरी वेबसाइट पर पासवर्ड। –

+0

हां। कारण यह है कि सर्वर और एक क्लाइंट के बीच प्रत्येक सत्र के लिए प्रमाणीकरण होता है। तो यहां तक ​​कि एक प्रमाणित हमलावर को सर्वर और अन्य उपयोगकर्ताओं के बीच संचार तक पहुंच नहीं होगी। – McGarnagle

+0

@dbaseman: एन्क्रिप्टेड पर सही है; हालांकि संदेशों को सर्वर की निजी कुंजी से एन्क्रिप्ट नहीं किया गया है, लेकिन हैंडशेक के हिस्से के रूप में साझा की गई साझा कुंजी के साथ। – Bruno

2

तो इसका मतलब यह है कि मैं हो सकता है कि एक attaker 99% से आत्मविश्वास दोनों क्वेरी स्ट्रिंग & पोस्ट शरीर अनुरोध संशोधित करने में सक्षम नहीं होगा?

एसएसएल केवल एन्क्रिप्ट करता है और किसी तीसरे पक्ष से जानकारी छिपाएं। हालांकि हैकर्स का अनुरोध है कि वह जो भी चाहें वह कर सकता है, भले ही उन्हें एन्क्रिप्टेड भेजा गया हो। जैसा कि मैंने कहा था कि एसएसएल केवल किसी तीसरे पक्ष के खिलाफ सुरक्षा करता है, कुछ और नहीं।

सभी वेब विकास में एक सुनहरा नियम है, कभी भी इनपुट डेटा पर विश्वास न करें, एन्क्रिप्टेड या नहीं।

भले ही हमलावर को मेरी वेबसाइट पर उपयोगकर्ता नाम और पासवर्ड का उपयोग करके प्रमाणीकृत किया गया हो।

हैकर भेज सकते हैं वह जो कुछ भी सर्वर से मनचाहे ढंग, उनके अनुरोध को एन्क्रिप्टेड किया जाएगा और एक तीसरे पक्ष के खिलाफ की रक्षा की है, लेकिन वह सिर्फ वह जो कुछ भी चाहते हैं भेजने के लिए और अपने कोड, कर सकते हैं अगर आप की लाइन folow नहीं है इनपुट डेटा पर भरोसा न करें, वह आपके सर्वर में उल्लंघन कर सकता है हाँ।

तो एक बार फिर एसएसएल केवल एक तीसरी पार्टी के विरुद्ध सुरक्षा (और यहां तक ​​कि कुछ समय नहीं)

स्रोत

2012-04-25 06:53:39 Tenerezza

संबंधित मुद्दे

 संबंधित मुद्दे