2
Gmailの認証メカニズムを理解しようとしています。私はそれがログイン中にユーザーの資格情報を輸送するためにhttpsを使用し、残りの通信はhttp経由で行われることを知っています。これはどのように達成されますか?最初のセッションでhttpsを超えて何らかの鍵が交換され、その後の要求で使用されますか?はいの場合、httpsの代わりに共有キーを交換するための主要な合意プロトコル(Diffie-Hellmanなど)の方が優れていますか?Gmailのセキュリティアーキテクチャ
こんにちは、 ご返信ありがとうございます。 しかし、私の質問は、安全な方法で最初の資格情報を交換するだけの場合、なぜhttpsを使用するのですか?なぜ、httpsの代わりにDiffie-Helmanのような鍵共有プロトコルが使われていないのでしょうか。 –
httpsはDiffie-Helmanと同様のものを使用し、信頼されたルート証明書のセキュリティが強化されているため、中間者の攻撃を防ぐことができます。 – cobbal
もう一度ありがとうございます。 httpsが内部で鍵合意プロトコルを使用している場合、私はこれが私の質問に答えると思います。私にとって、MITMの攻撃とメッセージレベルのセキュリティは優先事項ではなく、証明書は厳格なものではありません。 –