|
在研究微信协议过程中,阅历了各种困难,总结出一些心得。 下面我先来详细说一下mmtls规划初衷和理念。 为了防止被调和,以后时机成熟,或者微信大更新杜绝了缝隙后,我也会发表一些关于微信mmtls的缝隙。作为逆向爱好者,也欢迎我们一同评论交流一下。 要求: 微信的mmtls协议加密维护Client到Server之间所有网络通讯数据、且加密通讯维护对事务开发人员透明。 考虑到体系安全性与可用性和功能等目标之间可能存在相互影响,某种程度上,安全性与这些目标是负相关的。因此在规划的时分微信对mmtls提出了以下要求: 安全性。主要体现在防窃听,防篡改,防重放,防假造。 低延迟、低资源消耗。要确保数据在传输过程中不会添加显着的延迟;后台负载添加在可接受规模。 可用性。在一些极点情况下(如server负载过高),后台能够控制供给降级服务,可是要注意不能被进犯者使用,进行降级进犯。 可扩展性。协议要可扩展、可晋级,方便添加安全强度更高的密码学组件,方便禁止过时的密码学组件。 |
|
|
