API インターフェースに https プロトコルを使用するのは非常に安全ですか?

https は http よりも安全で、送信されるデータは暗号化されていることは以前から知っていました。 。 。
では、API インターフェースが https プロトコルを使用している場合、プログラム内でメッセージを暗号化および復号化する必要はなくなりますか?
セキュリティスコアが 100 ポイントの場合、次のスコアは何になりますか? 1、http を直接使用します
2、http を使用しますが、データの暗号化と復号化には暗号化と復号化機能を使用します
3、https を使用します
4、https を使用します、暗号化関数と復号化関数を使用してデータを暗号化および復号化します

返信内容:

https は http よりも安全で、送信されるデータは暗号化されていることは以前から知っていました。 。 。

では、API インターフェースが https プロトコルを使用している場合、プログラム内でメッセージを暗号化および復号化する必要はなくなりますか?
セキュリティスコアが 100 ポイントの場合、次のスコアは何になりますか? 1、http を直接使用します
2、http を使用しますが、データの暗号化と復号化には暗号化と復号化機能を使用します
3、https を使用します
4、https を使用します、暗号化関数と復号化関数を使用してデータを暗号化および復号化します

1 = 50 ポイント、セキュリティはまったくなく、API コンテンツは平文で送信され、簡単にハイジャックされます。

2 = 60 ポイント、暗号化および復号化機能で考慮すべき問題がさらに多くなります。対称暗号化のみの場合、実際にはオプション 1 よりも安全です。

3 = 90 ポイントです。実際、この方法は十分に安全です。具体的なセキュリティ メカニズムについては、この記事を参照してください。
4 = 80 ポイント。TLS が実装されたので、再度暗号化することでクラッキングの複雑さは軽減されますが、パフォーマンスは低下します。

低コストの方法は、間違いなく 3 の https を使用することです

API に多くのセキュリティ要件がある場合は、https + を使用して暗号化と復号化を自分で実装することもできます

つまり、最適化しすぎないということです。本当に必要です。これを見てください。あなたのビジネス シナリオ

https 自体には、非対称暗号化と対称暗号化を含む暗号化と復号化のプロセスが含まれていることを説明します。プロセス全体に時間がかかります。したがって、https を使用する同じインターフェイスは、明らかに http よりも数秒から数十秒、数百秒遅くなります。これは自分でテストできます。

HTTPS が解決する問題は暗号化だけではありません。さらに重要なのは、サーバーが本当に必要なサーバーであることを証明する認証です。自分で暗号化してもあまり役に立ちません。
ネットワークが安全ではないと仮定すると、どのように暗号化しても、最初から秘密鍵が見られてしまいます。

非対称暗号化は、一度秘密鍵を交換すれば安全である可能性がありますが、HTTPS はすでに実装されているため、わざわざ使用する必要はありません。

Web ページでのパスワード スニッフィング (中間者攻撃) を回避する方法はありますか?

暗号化の観点からセキュリティレベルの評価について議論されましたが、私はクラッカーの観点から意見を述べます。

直接的な視覚分析

---

1. クライアント復号化機能の解析

2. プロキシ転送を実装するための偽の証明書

4. 3+2https は、送信プロセスの相対的なセキュリティを保証するだけですが、安全とは程遠いです。

   コードがクライアント上で実行される限り、元に戻される可能性があります。
できることは、クライアント側の暗号化をできるだけ複雑にすることだけです。 。 。