使用 https 时防止中间人攻击

Question

我正在写一个类似于 omegle 的小应用程序。我有一个用Java编写的http服务器和一个html文档客户端。主要的通信方式是通过http请求（长轮询）。

我通过使用 https 协议实现了某种安全性，并且为连接到服务器的每个客户端都有一个 securityid。当客户端连接时，服务器会为其提供一个 securityid，客户端在需要请求时必须始终将其发回。

我担心这里的中间人攻击，您对如何保护应用程序免受此类攻击有什么建议吗？

请注意，此应用程序是出于理论目的而构建的，不会出于实际原因而使用它，因此您的解决方案不一定是实用的。

Answer 1

HTTPS不仅可以进行加密，还可以对服务器进行身份验证。当客户端连接时，服务器会显示其域具有有效且可信的证书。该证书不能简单地被中间人欺骗或重播。

Answer 2

仅仅启用 HTTPS 是不够的，因为网络带来了太多的复杂性。

一方面，请确保在 cookie 上设置安全标志，否则它们可能会被盗。

确保用户仅通过在地址栏中键入 https:// 来访问该网站也是一个好主意，这是确保使用有效证书进行 HTTPS 会话的唯一方法。当您输入 https:// 时，浏览器将拒绝您访问该网站，除非服务器为 提供有效的证书。

如果您只输入 而前面没有 https://，浏览器不会关心会发生什么。我立即想到这有两个含义：

1. 攻击者重定向到某个具有相似名称的 unicode 域（即：看起来相同，但具有不同的二进制字符串，因此是不同的域），然后攻击者为该域提供了有效的证书（因为他拥有该证书），用户可能不会注意到这一点...

2. 攻击者可以模拟服务器，但是如果没有 HTTPS，他会建立自己与真实服务器的安全连接，并成为您和服务器之间的明文代理，他现在可以捕获您的所有流量并做任何他想做的事情，因为他拥有您的会话。