假设我正在编写一个聊天服务器和客户端,允许用户使用用户名和密码登录。现在我可以以纯文本形式发送和接收信息,但存在信息可能被拦截的风险。因此 socket 应固定以保护用户。我对证书或验证身份不感兴趣,我只是想确保所提供的信息不会有暴露的风险。我对保护发送/接收的后续消息也不感兴趣。采取什么好方法?
- 我可以透明地用安全套接字替换常规套接字吗?
- 是否存在与 我可能想要的安全套接字 避免非 secret 信息 消息?
我更喜欢 java 指针/示例,但也对其他语言感兴趣。
最佳答案
这不是一个有效的用例。为什么要进行身份验证,只是为了允许攻击者介入并伪造随后发送和接收的信息?
SSL 不仅仅是为了保密。它还提供完整性:交换的每个数据包都受到消息身份验证代码的保护,因此中间人无法更改内容。
如果内容缺乏完整性保护,则连接实际上是匿名的。既然如此,为什么还要假装进行身份验证呢?
关于java - 是否可以/有效地建立仅包含安全登录但包含非安全消息的 TCP 连接?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1584177/