https真的能保证完全数据安全和完整性吗？

Ａ：对于https的认证完成，获取对称加密数据后，我个人感觉后面是难以保证完整性的，特别是通过抓包和fiddle劫持后的感受．

１．别人偷窥不到真正的数据．

２．但别人可以搞破坏（损人为最高原则）

譬如，当中间人随意改动tcp段数据（我看不到但可以搞破坏数据），服务器通过对称加密算法解密，从tcp来看，并不能感知数据被篡改．除非应用代码对数据进行额外的安全校验．

网上查阅了不少资料，也没有谁说清楚这块．最后找到这个博文写的对这种情况比较认可．转发记录，以做备份．当然里面有个地方我是不认可，比如说为什么用对称加密的原因．

https://blog.csdn.net/xiaopang_yan/article/details/78709574

 

B：譬如密码没有加密，通过https 传输来保证密码不被泄露吗，真的安全吗？（待测试）

不安全，https一旦被中间人劫持（fiddle）,则密码一览无余．

 

C：fiddle劫持真的是https不安全的体现吗？

也错也对．fiddle劫持有个步骤是要浏览器认可证书，这是关键，一旦没这个步骤，一切无从谈起．

是你客户端主动选择了相信别人．这不能怪https机制．

但另一种情况，如果这个认可是黑客干的（假浏览器或者pc工具　强制指定代理到某个地方，而且不做认证证书（你察觉不到），（安全３６０能否察觉？应该可以）），这个就危险了，这个是说明这个https认证没有按照规范走，并不是协议本身的问题．当然这都是实施的问题．并不是协议的问题．实施的人有客户，浏览器，服务器，缺一不可．有人的地方有江湖，安全在每个环节．

就拿密码泄露说，服务器和浏览器端恶意泄露本来最初就不是https能管控，主动提供fiddle也不是协议本身的错．

https只管按照这个协议传输过程中不会被偷窥和破解．

 

Ｄ：对于服务器设计人员来说，这个不安全是否应该要考虑？

密码的安全是双方的，客户端人员如果不知道浏览器被劫持到fiddle,就非常危险了．这个错误最终会导致某天Ｎ多客户发现密码被泄露（是很多人），我的密码被泄露了，是你服务器的责任！这就进入扯皮模式了！所以加密是必要的．

任何安全机制的指定，都是相对的．哪一方没有严格按照标准来，可能就会出问题！譬如信任fiddle证书，可能就是一个错误发生的开始．灵活的一方面就会带来风险，这也许是辩证法最好的体现．

 

Ｅ:　https能被除了fiddle这种，还有其他恶意工具伪造偷窥吗？

当然可以，路由器用假证书劫持．

但是对正规的浏览器是没有办法的．

网络黑客们通过伪造SSL证书进行攻击，这时企业安全意识薄弱选择据需操作。受到SSL安全证书保护的网站，浏览器会自动检查SSL证书的状态，确认无误浏览器后才会正常显示安全锁标志。并且一旦发现问题，浏览器会发出各种不同的安全警告。

所以请务必，１．浏览器使用大品牌．

　　　　　　２．不要随便进入警告证书问题的网站．特别是大网站可能被人路由器或中间人劫持！伪造证书！

　　　　　　３．app客户端开发人员疏忽，导致不对证书进行签名（非恶意而是糊涂，效果和恶意一样），导致用这种app也可能被劫持．所以很多app即使使用https开发．也要小心．非正规APP不要使用或者不要使用核心密码！

　　　　　　4．保护自己的电脑不要被别人动了浏览器参数，造成恶意的数据流入中间人．

 

参考：　　　　　

https://blog.csdn.net/Trustauth/article/details/86310545