时时彩计划记录工具:HTTP與HTTPS數據加密兩種傳輸方式的異同點

來源:时时彩计划自动发送 | 發布時間:2017-4-6 20:45:17 |  分享到:
為了解決 HTTP 協議的這一缺陷,安全套接字層超文本傳輸協議 HTTPS 應運而生。為了數據傳輸的安全,HTTPS 在 HTTP 的基礎上加入了 SSL 協議,SSL 依靠證書來驗證服務器的身份,并為瀏覽器和服務器之間的通信加密。
HTTPS 和 HTTP 的區別主要為以下四點:
  • HTTPS 協議需要到 CA 申請證書,一般免費證書很少,需要交費。
  • HTTP 是超文本傳輸協議,信息是明文傳輸,HTTPS 則是具有安全性的 SSL 加密傳輸協議。
  • HTTP 和 HTTPS 使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
  • HTTP 的連接很簡單,是無狀態的,HTTPS 協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,比 HTTP 協議安全。
“說人話”的版本是,HTTPS 可以保證——
  • 你瀏覽的頁面的內容如果被人中途看見,將會是一團亂碼。
  • 你瀏覽的頁面就是你想瀏覽的,不會被黑客在中途修改,網站收到的數據包也是你最初發的那個,不會把你的數據給換掉,搞出一個大新聞。
  • 你連接的是你想要連接的網站,不會出現有人中途偽造一個網站給你。
這意味著,你在看羞羞的網站內容時,這些內容不會因為被人偷偷截取被發現,也不會明明要看羞羞的網站,卻上了一個你不需要的賣壯陽藥的網站。

时时彩计划自动发送 www.zgmou.icu 午休時間,小 A  戴著眼鏡在辦公室,盯著屏幕一臉緊張。

“哎呀,小 A 真不錯啊,休息時間還這么積極開展工作。”
領導繞到了小 A 身后,準備嘉獎一番。
只見電腦屏幕上出現了不可描述的網站。
小A 一驚,結結巴巴地解釋,“領導,我剛查資料,不知道怎么打開一個網站,就跳轉到了這個網站”。
領導看了一眼瀏覽器地址欄上的“綠色小鎖”,真相了然于胸。
領導看到“綠色小鎖”應該是下面這一把:
世界最大色情網站 Pornhub 用 HTTPS 數據加密,它如何讓你更安全地看片? | 深度
(上班時間打開這個網站,雷鋒網編輯略有壓力)
對了,這就是世界上最大的色情網站 Pornhub 。最近, Pornhub 和其姐妹網站 YouPorn 了采用 HTTPS 網頁加密技術,因此,只要你打開這兩家的網址,地址欄就會出現這把“綠色小鎖”。
事實上,只要看到這把“綠色小鎖”,基本能保證“你連接的是你想要連接的網站”。小 A 的詭辯因此被洞察……
 
HTTPS 是什么?老司機為什么加上“綠色小鎖”
上羞羞網站被抓包,你害怕它的后果嗎? 2016 年,曾發生過三起比較嚴重的色情網站信息泄露事件。
2016 年 5 月,著名黑客 Peace in Mind(內心的平靜)在著名暗網黑市 The Real Deal 掛出了一個“爆款”商品,那就是4000 萬 Fling 的用戶注冊信息。包括所有用戶的郵箱地址、注冊名、明文密碼、歷史登陸IP地址以及生日。
2016 年 10 月,成人約會和娛樂公司 Friend Finder Network 經歷一次最大規模黑客攻擊,導致超過4. 12 億的賬戶信息泄露。該公司旗下有號稱 “全世界最大約炮社區”的 Adult Friend Finder,以及 penthouse 等其他幾個成人網站 。
2016 年 11 月,成人網站 xHamster 有超過 380000 的用戶數據在網絡地下黑市被公開售賣,其中包括用戶名、電子郵件地址以及經過 MD5 哈希密碼,令人咋舌的是,其中還包含了美國軍方以及英國等多國政府郵箱。
輕則有人購買這些信息給你推送相關羞羞廣告,重則竊取信息,造成重大財務損失,還有更嚴重的,想必你可能在神劇《黑鏡》里看過,以隱私信息相要挾,家破人亡也是有可能的。更甚者,你看,上面還有政府信息泄露。
采用 HTTPS 網頁加密,加上“綠色小鎖”有什么用?雷鋒網(公眾號:雷鋒網)曾在這樣一篇文章《想看小黃片卻擔心被抓包?這些網站能讓老司機放心“開車”》中就有探討:
“使用 HTTPS,你的 ISP (互聯網服務供應商)就不會知道你在色情網站上干了些什么,即使是政府和間諜也不能辦到,因為這些信息是加密的。至于完整性,部署 HTTPS 可以防止第三方,或 ISP 惡意軟件的注入。事實上,我們已經在自己的頁面上實現了 HTTPS 加密。”美國民主與技術中心 CDT 首席技術專家 Joseph Hall 表示。
先不要一臉懵逼??純次裁?nbsp;Pornhub 為什么要拋棄 HTTP,轉投 HTTPS 的懷抱。
 
超文本傳輸協議 HTTP 協議被用于在 Web 瀏覽器和網站服務器之間傳遞信息。也就是說,它是一個“傳聲筒”。但是,HTTP 協議以明文方式發送內容,不提供任何方式的數據加密,如果攻擊者截取了 Web瀏覽器和網站服務器之間的傳輸報文,就可以直接讀懂其中的信息,因此 HTTP 協議不適合傳輸一些敏感信息,比如信用卡號、密碼等。
 
HTTPS 工作原理:兩位“地下黨”接頭紀實
一名久經考驗的老地下黨員終于要見到同志了,他們甩掉了跟蹤他們的耳目,在一個隱秘的小巷,說一聲“天龍蓋地虎”,對方答“寶塔鎮河妖”,成功對接,互道一聲“同志你好”。
 
這就是 HTTPS 在傳輸數據之前需要瀏覽器與服務端(網站)之間進行一次“握手”,在握手過程中確立雙方加密傳輸數據的密碼信息。
對,這并不是正式傳遞內容,只是“加好友”。
兩個互相不能信任的人開始了試探……
 
當然, HTTPS 使用的接頭暗號絕對不是這么簡單。他們使用的“密碼本”比戰爭時期的更難破譯。“接頭暗號”TLS/SSL協議不僅僅是一套加密傳輸的協議,更是一件經過藝術家精心設計的藝術品,因為 TLS/SSL中使用了非對稱加密、對稱加密以及哈希算法。
全世界只有一種“加密的執著”可以和上面的加密程度媲美——情侶們為求天長地久一層一層地往樹上掛滿同心結,往橋上加鎖。
 
兩位“地下黨”是這么接頭的:
1.瀏覽器將自己支持的一套加密規則發送給網站。
2.網站從中選出一組加密算法與哈希算法,并將自己的身份信息以證書的形式發回給瀏覽器。證書里面包含了網站地址,加密公鑰,以及證書的頒發機構等信息。
3.兩人交換信物,開始驗證信物?;竦猛局な櫓?,瀏覽器要驗證證書的合法性,比如,頒發證書的機構是否合法,證書中包含的網站地址是否與正在訪問的地址一致等。
如果證書受信任,則瀏覽器欄里面會顯示一個小鎖頭,否則會給出證書不受信的提示。如果證書受信任,或者是用戶接受了不受信的證書,瀏覽器會生成一串隨機數的密碼,并用證書中提供的公鑰加密。
然后兩位同志使用約定好的哈希計算消息,使用生成的隨機數對消息進行加密,最后將之前生成的所有信息發送給網站。
一方發出了好友認證申請……
 
4.網站接收瀏覽器發來的數據后,開始了瘋狂解密的過程。
  • 首先,它使用自己的私鑰將信息解密取出密碼,使用密碼解密瀏覽器發來的握手消息,并驗證哈希是否與瀏覽器發來的一致。
  • 然后,使用密碼加密一段握手消息,發送給瀏覽器。
5.瀏覽器解密并計算握手消息的哈希,如果與服務端發來的哈希一致,此時握手結束,之后所有的通信數據將由之前瀏覽器生成的隨機密碼并利用對稱加密算法進行加密。
這里瀏覽器與網站互相發送加密的握手消息并驗證,目的是為了保證雙方都獲得了一致的密碼,并且可以正常的加密解密數據,為后續真正數據的傳輸做一次測試。
這是互相試探的前奏,只有認證成功,他們才真正開始傳輸。
接受好友申請,他們即將開展友好往來……
 
有 HTTPS 就能放心開車?
就當羞羞網站張開懷抱擁抱 HTTPS ,你以為萬事大吉,可以放心嘿嘿嘿時,還有一些小插曲可能會讓你心生疑慮。
 
(并不是這個問題)
外媒 wordfence 曾有一篇文章指出:在許多假冒知名公司的釣魚網站中,如假冒 Google、微軟、蘋果等,所使用的 SSL 證書來自多個認證機構(CA)的頒發。Chrome 瀏覽器只對 SSL 證書的有效性進行判斷,如果有效則直接將網站顯示為“安全”。
即使網站證書已被 CA 認證機構撤銷,Chrome 瀏覽器仍將站點標識為“安全”。已撤銷”狀態僅在 Chrome 開發人員工具中可見。而已發布有效 SSL 證書的惡意網站,需要一段時間后才會被拉入Chrome 的惡意網站列表中。
這是CA 證書失效延遲可能造成的后果。
知乎計算機問題優秀答主“車小胖”認為:HTTPS 并不是 100% 絕對可靠。
“斯諾登暴露出,針對IPsec,TLS的密鑰交換所依賴的Diffie-Hellman算法攻擊,即通過離線的超級計算機預先計算出海量的公鑰、私鑰對,一旦嘗試出私鑰就會得到Master Key,進而推導出session key,這樣歷史數據、現在、將來的數據全可以解密。
以上是被動攻擊方式,針對數字證書欺騙則屬于主動攻擊,可以實時地解密用戶數據。但種種主、被動攻擊難度都很高,往往是以國家意志為源動力,而不是一些小團體所能完成的。”
雷鋒網編輯還檢索到,在一則《“凈廣大師”病毒 HTTPS 劫持技術深度分析》的文章中,還有病毒”劫持”SSL 證書的案例。
該病毒是通過代理的方式,以中間人攻擊的形式來劫持 HTTPS 流量。當瀏覽器訪問某度時,病毒驅動會將連向某度(61.135.169.125)443 端口 (HTTPS) 的鏈接重定向到本地的 10100 監聽端口,explorer 中的病毒代碼再代替瀏覽器發起與遠端Web服務器的鏈接進行通訊。該病毒同時通過自己攜帶的證書分別與瀏覽器和遠端 Web 服務器完成 SSL 握手,進而以中間人攻擊的形式完全控制 HTTPS 鏈路通信。
如果你還注意到這句話——“HTTPS 協議需要到 CA 申請證書,一般免費證書很少,需要交費”,就會發現“HTTPS ,不是你想用就能用”。因此,一些免費發送證書的機構應運而生。
免費的午餐被利用時,用戶吃到的可能是蒼蠅。
 
比如,非營利網絡認證發放機構 Let's Encrypt 推出了開源免費的HTTPS認證服務。不過,據中關村在線報道,近期有專家發現,Let's Encrypt 發放的認證證書有被濫用的趨勢。該報道還指出“迄今已發行 15270 個內含 PayPal 字樣的證書,當中約有 96.7 %被用于釣魚網站,這表示約有 14766 個釣魚網站已經擁有與 PayPal 相關的證書”。
最后,照顧到部分看上去“什么技術也不懂”的 Pornhub 等類似網站用戶的需求,雷鋒網編輯向一位資深互聯網從業人士請教了實操建議:
  • 在不考慮 CA 證書失效的基礎上,直接在地址欄里面輸入的 HTTPS  是安全的,跳轉的 HTTPS 不一定安全。也就是說,訪問一個 HTTP 的鏈接,網站跳轉到 HTTPS 還是可能被劫持,所以訪問時最好確認第一次打開的地址欄里就帶 HTTPS 。
  • HTTPS 安全也是假定你的電腦沒有被入侵,是干凈的。如果你電腦已經被控制了,那就沒什么安全可言了。
  • 跳轉 HTTPS 的場景大量存在,不是資深用戶的話不要輕易相信公共場所無線AP的安全性,即使用 HTTPS。 
TAG標簽:HTTP,HTTPS
本文固定鏈接:
轉載請注明:时时彩计划自动发送 2017-4-6 20:45:17 于 时时彩计划自动发送 發表
推薦新聞News
0755-83231329
每天送6元本金的斗地主 上海时时开奖结果查询结果 双色球前面中2个有奖吗 太子网站是什么 和值彩票如何买大小 21点游戏安卓 财神爷pk10安卓 双色球复式投注咋玩的 飞艇计划哪个软件准 pt游戏平台 北京pk10牛逼计划软件 新11选5技巧稳赚 pt电子游戏户 北京pk拾一期计划 1000每天稳赚本金20%图 极速快三大小单双经验