Quote:
Originariamente inviato da Kaian
Ho provato a mettere uno sniffer nel momento in cui invio i dati dalla mia applicazione al sito https e succede questo. Le uniche comunicazioni non criptate sono quelle per stabilire al connessione (la tripla handshake - SYN+ACKSYN+ACK) dopodiche si stabilisce un canale sicuro SSL-TSLv1 sul quale transitano tutti i dati (ho esaminato tutti i pacchetti). Quindi ancora non mi è chiaro perchè dovrei inserire i dati in una pagina https piuttosto che http. Il fatto di scambiare preliminarmente i certificati rispetto allo scambiarseli dopo la prima richiesta http non mi è molto chiaro.
Cmq grazie per l'interessamento.
|
Supponi di essere in una pagina di login non sicura ovvero http.
Riempi il form e premi Login. A questo punto la richiesta che parte dal tuo computer è in HTTP ovvero in chiaro, perchè così prevede il protocollo. Non hai possibilità di stabilire una connessione sicura tra il momento in cui premi il pulsante di login e quando invii i dati al server.