2009-04-01 5 views
2

J'essaie de comprendre le mécanisme d'authentification de Gmail. Je sais qu'il utilise https pour transporter les informations d'identification de l'utilisateur lors de la connexion, puis le reste de la communication se passe sur http. Comment cela est-il réalisé? Un type de clé est-il échangé pendant la session initiale sur https et utilisé dans les demandes suivantes? Si oui, un type de protocole d'accord de clé (par exemple Diffie-Hellman) n'est-il pas préférable pour échanger la clé partagée au lieu de https?Architecture de sécurité Gmail

Répondre

2

https utilise un chiffrement asymétrique pour obtenir une clé symétrique. Une fois les cookies définis avec https, ils sont la source d'authentification sur http. Sauf si l'utilisateur a défini https pour être toujours utilisé

+0

Bonjour, Merci pour votre réponse. Cependant, ma question est de savoir si c'est seulement pour échanger les informations d'identification initiale d'une manière sécurisée, alors pourquoi utiliser https? ou pourquoi un protocole d'accord de clé comme Diffie-Helman n'est pas utilisé au lieu de https. –

+0

https utilise quelque chose de similaire à Diffie-Helman, et a la sécurité supplémentaire d'un certificat racine de confiance, ce qui empêche l'homme dans le milieu des attaques. – cobbal

+0

Merci encore. Si https utilise un protocole d'accord de clé en interne, je pense que cela répond à ma question. Pour moi, l'attaque MITM et la sécurité au niveau du message ne sont pas une priorité et les certificats sont strictement non non. –