Архитектура безопасности Gmail - PullRequest
2 голосов
/ 01 апреля 2009

Я пытаюсь понять механизм аутентификации gmail. Я знаю, что он использует https для передачи учетных данных пользователя во время входа в систему, а затем остальная часть связи происходит через http. Как это достигается? Обменивается ли какой-либо ключ во время первоначального сеанса через https и используется в последующих запросах? если да, то не лучше ли использовать какой-нибудь протокол согласования ключей (например, Диффи-Хеллмана) для обмена общим ключом вместо https?

1 Ответ

2 голосов
/ 01 апреля 2009

https использует асимметричное шифрование для получения симметричного ключа. После того, как куки установлены с использованием https, они становятся источником аутентификации через http. Если пользователь не установил https, который будет всегда использоваться

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...