2
Я пытаюсь понять механизм аутентификации gmail. Я знаю, что он использует https для переноса учетных данных пользователя во время входа в систему, а затем остальная часть связи происходит через http. Как это достигается? Является ли какой-то ключ обменялся во время начальной сессии по https и использовался в последующих запросах? если да, не лучше ли использовать какой-либо протокол согласования ключей (например, Diffie-Hellman) для обмена общим ключом вместо https?Архитектура безопасности Gmail
Привет, Спасибо за ваш ответ. Однако, мой вопрос заключается в том, что только для обмена первоначальными учетными данными безопасным образом, то зачем использовать https? или почему не является протоколом с ключевым соглашением, как Diffie-Helman, вместо https. –
https использует что-то похожее на Diffie-Helman и имеет дополнительную защиту доверенного корневого сертификата, тем самым предотвращая попадание человека в средние атаки. – cobbal
Еще раз спасибо. Если https использует протокол согласования ключей внутри, я думаю, что это отвечает на мой вопрос. Для меня защита MITM и уровень безопасности сообщений не являются приоритетом, а сертификаты строгими - нет. –