检测用户故意绕过https服务器证书错误的时间。
服务器上是否有https头,或者浏览器中有JavaScript方法,这样我们就可以检测用户何时有意绕过安全证书,或者任何其他方法来检测和报告这种情况?(我们使用的是Linux / Apache /jQuery。)
网络上充满了常规跳过警告的方法,但我还没有找到一件关于检测用户何时跳过警告的东西--只有70%的用户尽可能快地绕过警告这一可怕的统计数据。(他们是如何衡量的?)
我们运行一个网络应用程序,让教师进行和管理测试。教师正在连接到未经授权的WiFi网络,获取无效的证书警告,并单击浏览器的“无论如何接受”功能,这样他们就可以访问我们的应用程序,尽管有未经身份验证的证书。我们想了解这种情况发生的频率,以及谁在这样做,以及阻止这种情况的进展。
我要指出的是,有些学校通过自己的服务器、拥有自己的证书请求代理,我们对此表示满意--我们希望衡量和缓解的是“忽略和连接”连接,因为这些都是学生正在建立的连接,他们没有访问自己的CA,但有足够的权限访问懒惰的用户。
回答 4
Stack Overflow用户
发布于 2015-05-30 06:00:09
我在找HSTS。下面是它的工作原理和实现方法。
TL;DR:Header add Strict-Transport-Security "max-age=15768000 includeSubDomains"
Stack Overflow用户
发布于 2015-05-30 06:43:56
确保客户端已经看到您发送的服务器证书的一种方法是使用客户端证书身份验证。使用客户端证书身份验证时,SSL/TLS握手的最后一个步骤是使用客户端私钥签名的所有握手消息的散列。
这样做的一个副作用是,如果客户端没有看到完全相同的服务器证书,服务器将无法验证来自客户端的签名散列。
这当然不一定意味着客户端按其应有的方式检查证书(即证书是否受信任,是否属于客户端要联系的服务器),但至少服务器有一种方式,即中间没有假证书。
HSTS (您提到过)也有一种方法可以让客户端强制执行这些检查(请参阅RFC 6797第8.4节)。但是,只有当客户端已经知道需要使用HSTS (或者作为预加载的主机,或者是在第一次访问之后),并且当然依赖于支持HSTS (浏览器支持仍然有限。)的客户端,它才能工作。
Stack Overflow用户
发布于 2015-03-06 11:16:00
不知道你绕开HTTPS是什么意思。如果您的意思是他们可以在不使用HTTPS的情况下访问您的URI,这意味着您需要阻止阿帕奇的.htaccess、httpd.conf或default-ssl配置文件中的HTTP访问。损坏的挂锁可能意味着许多不同的事情,因此不清楚您有哪些问题。您可以在这里测试您的站点是否存在SSL安全问题:
https://www.ssllabs.com/ssltest/
编辑
您可以比较服务器和客户端上的SSL证书的指纹,以确保它们匹配(如果客户端能够获得指纹)。这应该可以防止中间人用伪造的证书进行攻击。
以及在服务器端执行此操作的这是一个答案。听起来,避免拦截的最佳方法是使用自己的证书对客户端进行身份验证。
https://stackoverflow.com/questions/28904369
复制相似问题
腾讯云开发者
