منتشرشده در man-in-the-middle، ssl-interception، tls، tls-intercept، فیلتر شکن

من سناریوی دنبال کردن را دارم و به دنبال یک راه حل مطمئن هستم.

یک برنامه وب وجود دارد ، که در IIS میزبان آن است. اتصال بر روی TLS 1.2 برقرار شده است و رمزگذاری شده است.

مراحل به این صورت است

  1. Client به سرور متصل می شود تا ssl

  2. مشتری نام کاربری و رمزعبور را ارسال می کند (و همچنین xsrf token)

فرض کنید که ما در یک شرکت شرکتی هستیم ، همه ارتباطات از طریق سرور پروکسی (به عنوان مثال هنگام استفاده از بازرسی SSL) اتفاق می افتد. اگر بازرس به خطر بیفتد (براساس این امر کاملاً محتمل است) ، کاربر می تواند به سرقت اعتبار برسد.

من در مورد راه حل اتصال رمزنگاری خوانده ام ، اما این فقط ما را از MITM اطمینان می دهد تا پس از آن نتوانیم ارتباط را زنده نگه داریم.

آیا هنگامی که ssl با این روش به خطر بیفتد ، راهی وجود دارد که بتواند رمزهای عبور کاربر را ایمن کند؟

تگ ها: