Działanie https

Czesc,
jestem jakoś ograniczony chyba bo mam problem ze zrozumieniem zasady działania https czyli szyfrowanego polaczenia.

Rozumiem, że jezeli chce zabezpieczyć dane przesyłając je jawnym kanałem to muszę przekazać klucze, zaszyfrowac wiadomości itp. Z tego co rozumiem to https robi to wszystko za mnie.

Czyli.. jeżeli nawiąże połączenie po https to nic już sam nie muszę szyftowac i mogę wysłać jawny tekst np z informacją o stanie konta?

Oczywiście zakładam że dochodzi do tego sprawdzenie zalogowania itp ale chodzi mi o samo wysyłanie danych, sam już nic nie muszę szyftowac?

Pozdrawiam!

To zależy przed kim chcesz się bronić. https zapewnia ochronę przed podsłuchem w trakcie przesyłania danych.

po prostu masz zieloną kłódkę i wszyscy się cieszą łącznie z google :)

Załóżmy np że użytkownik chce się zalogować.

Wysyła swoje dane do logowania po https np w formacie:
Logowanie|NazwaUsera|Hasło
Czy to hasło musi (pewnie powinno ale czy musi) być dodatkowo zabezpieczone czy wystarczy fakt wysyłania tego w szyfrowanym protokole?

Na pewno po zalogowaniu trzeba też przekazać jakiś tocken sesji itp ale czy w ten sposób mogę przekazywać informacje czy trzeba je dodatkowo zabezpieczać?

Chyba że założymy że po drodze ktoś będzie próbował odszywac się pod klienta lub serwer. Jak zabezpieczyć się przed taką próba?

1. Nie musisz nic więcej robić, zresztą nie możes znawet jakbyś chciał. Po szyfrowanie po stronie klienta jest guzik warte
2. Nikt po drodze nie może się podszywać o ile nie będzie miał odpowiedniego certyfikatu.

obecnie wałki polegają głównie na podmiance linka na podobny, też z "kłódką" a przecież raczej nikt z userów nie sprawdza certyfikatu za każdym razem, lub kradzież tożsamości całej firmy, promowanie tego jako "bezpieczny internet" to spore nadużycie, pozorne bezpieczeństwo, jak program ochrony kupujących na allegro