Если вы также отправляете свои файлы .html и .js через HTTPS, то, вообще говоря, никто не сможет манипулировать ими во время передачи.Конечно, есть некоторые практические вопросы:
- Есть ли ошибки в реализации TLS?
- Есть ли недостатки в протоколе TLS?
- Является ли браузер клиентаили компьютер скомпрометирован?
- Скомпрометирован ли сервер?
- ...
Предположим, это не так.Но тогда есть ваше заявление:
Мы предполагали, что, кроме SSL, мы никогда не отправляем текстовый пароль по проводам (сначала мы его хешируем).
Так что вы не делаетеотправить все через SSL?Что ж, вещи, которые вы не отправляете через SSL, могут быть украдены и использованы во время передачи.Я предполагаю, что ваш друг имеет в виду, что хешированный пароль может быть украден!Даже если злоумышленник не сможет восстановить открытый текстовый пароль, он может просто использовать хешированный пароль, если ваш сервер принимает хешированный пароль.
Также см. Мой ответ на GWT / пароль на стороне клиента Javascriptшифрование .
О вашем втором вопросе:
Мы использовали Wireshark для перехвата запросов и ответов от клиента на веб-сервер с поддержкой SSL, и нет ни одногопакеты RPC собираются вокруг.Все, что мы видим, это пакеты протокола TLS ...
Ну, я очень на это надеюсь!Ваши вызовы RPC являются зашифрованными данными этих пакетов.Вы можете использовать анализатор SSL Wireshark для расшифровки пакета, если вы можете предоставить закрытый ключ для Wireshark (будьте очень осторожны при использовании с рабочими ключами!)