欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

楔子
謠言粉碎機前些日子發(fā)布的《用公共WiFi上網(wǎng)會(huì )危害銀行賬戶(hù)安全嗎？》，文中介紹了在使用HTTPS進(jìn)行網(wǎng)絡(luò )加密傳輸的一些情況，從回復來(lái)看，爭議還是有的。隨著(zhù)網(wǎng)絡(luò )越來(lái)越普及，應用越來(lái)越廣泛，一些網(wǎng)絡(luò )安全問(wèn)題也會(huì )越來(lái)越引起網(wǎng)民的關(guān)注，在這里和大家一起聊聊TLS/SSL也就是我們常說(shuō)的HTTPS，從原理到實(shí)際應用看清它到底是怎么一回事，以及在使用HTTPS要注意哪些問(wèn)題以及相關(guān)的安全技巧。
網(wǎng)絡(luò )安全是一個(gè)整體的事件，涉及到個(gè)人計算機的安全，協(xié)議的安全，傳輸數據的安全，以及軟件開(kāi)發(fā)公司和網(wǎng)站的安全，單純的依靠一個(gè)HTTPS協(xié)議并不能解決所有的問(wèn)題。希望通過(guò)今后一點(diǎn)一點(diǎn)的對安全相關(guān)的問(wèn)題進(jìn)行說(shuō)明解釋?zhuān)茏尭嗳藢W(wǎng)絡(luò )安全有所了解，從而更安全的使用網(wǎng)絡(luò )。
文章會(huì )比較長(cháng)，暫時(shí)計劃分成三個(gè)部分：
第一部分主要描述HTTPS的原理；第二部分主要描述SSL證書(shū)驗證的過(guò)程與使用的一些注意事項；第三部分會(huì )呈現一些針對HTTPS攻擊的實(shí)例。如果有需要，我會(huì )后續的補充一些內容。
我盡量使用最簡(jiǎn)潔的語(yǔ)言來(lái)描述相關(guān)的概念，這里開(kāi)始先挖個(gè)坑，然后慢慢地填。

HTTPS那些事（二）SSL證書(shū)
HTTPS那些事（三）攻擊實(shí)例與防御

一、什么是HTTPS
在說(shuō)HTTPS之前先說(shuō)說(shuō)什么是HTTP，HTTP就是我們平時(shí)瀏覽網(wǎng)頁(yè)時(shí)候使用的一種協(xié)議。HTTP協(xié)議傳輸的數據都是未加密的，也就是明文的，因此使用HTTP協(xié)議傳輸隱私信息非常不安全。為了保證這些隱私數據能加密傳輸，于是網(wǎng)景公司設計了SSL（Secure Sockets Layer）協(xié)議用于對HTTP協(xié)議傳輸的數據進(jìn)行加密，從而就誕生了HTTPS。SSL目前的版本是3.0，被IETF（Internet Engineering Task Force）定義在RFC 6101中，之后IETF對SSL 3.0進(jìn)行了升級，于是出現了TLS（Transport Layer Security） 1.0，定義在RFC 2246。實(shí)際上我們現在的HTTPS都是用的TLS協(xié)議，但是由于SSL出現的時(shí)間比較早，并且依舊被現在瀏覽器所支持，因此SSL依然是HTTPS的代名詞，但無(wú)論是TLS還是SSL都是上個(gè)世紀的事情，SSL最后一個(gè)版本是3.0，今后TLS將會(huì )繼承SSL優(yōu)良血統繼續為我們進(jìn)行加密服務(wù)。目前TLS的版本是1.2，定義在RFC 5246中，暫時(shí)還沒(méi)有被廣泛的使用。
對歷史感興趣的朋友可以參考http://en.wikipedia.org/wiki/Transport_Layer_Security，這里有對TLS/SSL詳盡的敘述。
二、HTTPS到底安全嗎？
這個(gè)答案是肯定的，很安全。谷歌公司已經(jīng)行動(dòng)起來(lái)要大力推廣HTTPS的使用，在未來(lái)幾周，谷歌將對全球所有本地域名都啟用HTTPS，用戶(hù)只要在搜索前用Google賬號登錄，之后所有的搜索操作都將使用TLS協(xié)議加密，見(jiàn)：http://thenextweb.com/google/2012/03/05/google-calls-for-a-more-secure-web-expands-ssl-encryption-to-local-domains/。
三、HTTPS的工作原理
HTTPS在傳輸數據之前需要客戶(hù)端（瀏覽器）與服務(wù)端（網(wǎng)站）之間進(jìn)行一次握手，在握手過(guò)程中將確立雙方加密傳輸數據的密碼信息。TLS/SSL協(xié)議不僅僅是一套加密傳輸的協(xié)議，更是一件經(jīng)過(guò)藝術(shù)家精心設計的藝術(shù)品，TLS/SSL中使用了非對稱(chēng)加密，對稱(chēng)加密以及HASH算法。握手過(guò)程的簡(jiǎn)單描述如下：
1.瀏覽器將自己支持的一套加密規則發(fā)送給網(wǎng)站。
2.網(wǎng)站從中選出一組加密算法與HASH算法，并將自己的身份信息以證書(shū)的形式發(fā)回給瀏覽器。證書(shū)里面包含了網(wǎng)站地址，加密公鑰，以及證書(shū)的頒發(fā)機構等信息。
3.獲得網(wǎng)站證書(shū)之后瀏覽器要做以下工作：
a) 驗證證書(shū)的合法性（頒發(fā)證書(shū)的機構是否合法，證書(shū)中包含的網(wǎng)站地址是否與正在訪(fǎng)問(wèn)的地址一致等），如果證書(shū)受信任，則瀏覽器欄里面會(huì )顯示一個(gè)小鎖頭，否則會(huì )給出證書(shū)不受信的提示。
b) 如果證書(shū)受信任，或者是用戶(hù)接受了不受信的證書(shū)，瀏覽器會(huì )生成一串隨機數的密碼，并用證書(shū)中提供的公鑰加密。
c) 使用約定好的HASH計算握手消息，并使用生成的隨機數對消息進(jìn)行加密，最后將之前生成的所有信息發(fā)送給網(wǎng)站。
4.網(wǎng)站接收瀏覽器發(fā)來(lái)的數據之后要做以下的操作：
a) 使用自己的私鑰將信息解密取出密碼，使用密碼解密瀏覽器發(fā)來(lái)的握手消息，并驗證HASH是否與瀏覽器發(fā)來(lái)的一致。
b) 使用密碼加密一段握手消息，發(fā)送給瀏覽器。
5.瀏覽器解密并計算握手消息的HASH，如果與服務(wù)端發(fā)來(lái)的HASH一致，此時(shí)握手過(guò)程結束，之后所有的通信數據將由之前瀏覽器生成的隨機密碼并利用對稱(chēng)加密算法進(jìn)行加密。
這里瀏覽器與網(wǎng)站互相發(fā)送加密的握手消息并驗證，目的是為了保證雙方都獲得了一致的密碼，并且可以正常的加密解密數據，為后續真正數據的傳輸做一次測試。另外，HTTPS一般使用的加密與HASH算法如下：
非對稱(chēng)加密算法：RSA，DSA/DSS
對稱(chēng)加密算法：AES，RC4，3DES
HASH算法：MD5，SHA1，SHA256
其中非對稱(chēng)加密算法用于在握手過(guò)程中加密生成的密碼，對稱(chēng)加密算法用于對真正傳輸的數據進(jìn)行加密，而HASH算法用于驗證數據的完整性。由于瀏覽器生成的密碼是整個(gè)數據加密的關(guān)鍵，因此在傳輸的時(shí)候使用了非對稱(chēng)加密算法對其加密。非對稱(chēng)加密算法會(huì )生成公鑰和私鑰，公鑰只能用于加密數據，因此可以隨意傳輸，而網(wǎng)站的私鑰用于對數據進(jìn)行解密，所以網(wǎng)站都會(huì )非常小心的保管自己的私鑰，防止泄漏。
TLS握手過(guò)程中如果有任何錯誤，都會(huì )使加密連接斷開(kāi)，從而阻止了隱私信息的傳輸。正是由于HTTPS非常的安全，攻擊者無(wú)法從中找到下手的地方，于是更多的是采用了假證書(shū)的手法來(lái)欺騙客戶(hù)端，從而獲取明文的信息，但是這些手段都可以被識別出來(lái)，我將在后續的文章進(jìn)行講述。不過(guò)2010年還是有安全專(zhuān)家發(fā)現了TLS 1.0協(xié)議處理的一個(gè)漏洞：http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/，實(shí)際上這種稱(chēng)為BEAST的攻擊方式早在2002年就已經(jīng)被安全專(zhuān)家發(fā)現，只是沒(méi)有公開(kāi)而已。目前微軟和Google已經(jīng)對此漏洞進(jìn)行了修復。見(jiàn)：http://support.microsoft.com/kb/2643584/en-us https://src.chromium.org/viewvc/chrome?view=rev&revision=90643