Безопасна ли защита URL через WfI? [dубликат]

Как вы аутентифицируете клиента? SSL-сертификаты клиентов?

Вот что делает SSL в двух словах:

• Переговаривает общий сеансовый ключ Diffie-Helmann между двумя сторонами
• Сервер подписывает ключ сеанса и отправляет результат клиенту. Как только клиент проверяет это, клиент знает, что MITM не существует, а сервер - это тот, кто, по их словам, является.
• Если клиентские сертификаты включены, клиент подписывает ключ сеанса и отправляет подпись на сервер. Теперь сервер знает, что нет MITM, а клиент - это тот, кто, по их словам, является.
• Шифрует все данные в обоих направлениях, используя общий ключ сеанса

Обычно, когда вы используйте SSL, вы не будете использовать клиентские сертификаты. Строго говоря, сервер не знает, является ли соединение MITM'd. Однако большинство клиентов отключится, если сертификат сервера плох. Сервер предполагает, что если клиент нажимает на соединение с соединением, MITM отсутствует. Даже если Мэллори, выполняя MITM, предпочитает не распространять отключение от клиента, у него нет новой информации; все, что он сделал, связано с самим сервером. Без перехвата куки-файла сеанса клиента или другой информации аутентификации (которая отправляется клиентом только после проверки соединения) MITM бесполезен.

Итак, короче, если один конец или другой проверяет сертификат другого конца, прежде чем инициировать какую-либо высокоуровневую передачу конфиденциальной информации, SSL защищен в обоих направлениях.