10-04-2006, 08:28
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
המשמעות של SSL היא שהתקשורת מוצפנת end-to-end, כך שאפילו אם מישהו מאזין לה באמצע
הוא לא יכול לקבל את המידע שעבר. הפעולה מתרחשת באמצעות הצפנת מפתח פרטי + מפתח ציבורי ש"נועלים" את המידע בצורה כזו שרק שני הצדדים יכולים לקרוא אותו.
מה שכן אפשרי ברשתות כאלה (ולא בגלל האלחוט, אלא בגלל שממש אין לך שליטה על מי מריץ אותן), הוא שמישהו מעביר את התקשורת שלך ומתחזה לשרת שאליו אתה מתחבר, ומזייף את התעודה שלו (במקרה הזה תקבל התראה מהדפדפן), ועשוי אף לזייף את התעודה שחתמה על התעודה שלו (ואם אין לך כבר את הדברים האלה שמורים במחשב ומאומתים מול נתונים הסטוריים, או שהוא הצליח לך לגרום לבצע Import לתעודת החתימה (CA) שלו, מה שלא יהיה קשה מול משתמש מחשב אופייני, כלומר גולש "אקספלורר", לא תקבל שום התראה מהדפדפן, והוא בתורו יקרא את כל התקשורת, יעביר אותה הלאה באופן עצמאי לאתר שאליו אתה גולש, ולאחר מכן יוכל לבצע כל מה שאתה עשית). מה שכן, זה לא דבר של מה בכך, אבל זה גם לא יותר מדי מסובך טכנית - פשוט צריך לרצות לעשות את זה...
מה שאמרתי נכון לגבי כל מצב שבו יש מישהו בתווך בינך לבין אתר היעד, כמו למשל, ספק האינטרנט שלך, אם רק ירצו...
|