偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

我們?yōu)楹涡枰踩珎鬏攲訁f(xié)議(TLS)

安全
網(wǎng)上說TLS的文章很多,要學習TLS技術(shù)有很多不錯的選擇。本文并不是一個權(quán)威的教程,只是我個人學習TLS后基于自己理解的一個總結(jié)而已。如果有讀者通過閱讀此文后加深了對TLS的理解,不勝榮幸。

網(wǎng)上說TLS的文章很多,要學習TLS技術(shù)有很多不錯的選擇。本文并不是一個權(quán)威的教程,只是我個人學習TLS后基于自己理解的一個總結(jié)而已。如果有讀者通過閱讀此文后加深了對TLS的理解,不勝榮幸。

要聊TLS,還得從HTTP說起,HTTP可以說是作為目前最流行的一個網(wǎng)絡(luò)協(xié)議,可以說是網(wǎng)絡(luò)的基石之一。一般來說可以理解為從瀏覽器看到的所有東西,都是構(gòu)建于HTTP之上的。

早期HTTP協(xié)議被設(shè)計成在一個可信網(wǎng)絡(luò)環(huán)境中運行,其設(shè)計理念以簡單為主——通過一個通用格式的明文請求就能夠獲取到各種文檔、樣式、腳本、富媒體內(nèi)容等。

 

由于其簡潔性,各種互聯(lián)網(wǎng)應(yīng)用都得以在其之上進行充分的擴展,從最早的一個HTML文檔就是一個網(wǎng)頁,到如今打開一個淘寶首頁就有百八十個HTTP請求。各種類型的HTTP請求相互配合,組成了如今我們所看到的繽紛多彩的互聯(lián)網(wǎng)世界。

然而,如今的互聯(lián)網(wǎng)環(huán)境紛繁復(fù)雜,HTTP的簡單也面臨兩個大的問題

  • 安全性無法保證
  • 單次請求獲取一個文檔的方式,不滿足如今流式傳輸體驗所要求的性能

本文主要著眼于安全性方面,第二點后續(xù)有機會再議。

導(dǎo)致安全問題的一個重要原因是通過HTTP的請求及返回都是明文的,下面通過兩個例子說明。

其一是網(wǎng)絡(luò)運營商劫持問題。主要是指我們的網(wǎng)絡(luò)運營商(電信、聯(lián)通、移動等)通過在我們看的網(wǎng)頁中添加廣告,來謀取廣告費的問題。下面來看看他們是怎么做的。

我們所謂的『上網(wǎng)』大體分為兩步,首先給我們要上的網(wǎng)的服務(wù)器發(fā)送一個請求,然后接收到服務(wù)器返回的內(nèi)容,瀏覽器將這些內(nèi)容展示出來就是我們看到的網(wǎng)頁了。我們的請求并不是直接發(fā)送給目標網(wǎng)站的服務(wù)器的,中間經(jīng)過了層層的轉(zhuǎn)發(fā)。

 

如上圖所示,整個互聯(lián)網(wǎng)其實是一個拓撲結(jié)構(gòu),我們的請求往返于服務(wù)器之間,其實是經(jīng)過了很多個節(jié)點的(這里只是簡單YY了一個三層的結(jié)構(gòu),實際網(wǎng)絡(luò)拓撲要復(fù)雜很多)。圖中橙色的節(jié)點就是我們網(wǎng)絡(luò)運營商的節(jié)點了。按說運營商收了我們的網(wǎng)費,好好的做好傳送數(shù)據(jù)的事情就好了。然而一些黑心運營商(干這事的一般為三四線城市的小運營商)在收了網(wǎng)費的同時還不好好干活,在服務(wù)器的返回內(nèi)容中插入他們自己的廣告,以此來多謀得一份廣告收入。

這里隨便網(wǎng)上找了兩個被插入廣告的例子。

 

 

 

 

 

從第二個圖可以看到,運營商通過解析HTTP請求返回的HTML內(nèi)容,在其中插入一個iframe區(qū)塊,完成廣告的展現(xiàn)。這個事情本身沒難度(分析網(wǎng)絡(luò)請求的具體內(nèi)容,有個專業(yè)術(shù)語叫『深度包檢測』),做不做就是運營商的節(jié)操問題了。

由于這種現(xiàn)象還是比較影響體驗的,因此一些網(wǎng)站踏上了全站HTTPS改造之路,不惜巨大改造成本和性能壓力,旨在避免運營商的流氓行徑,這里先按下不表。

上述這種問題我們總結(jié)下,屬于『可信(相對)』人員占著『有利位置』,通過篡改請求來『某點小利』。這里之所以說這些黑心運營商是『可信』,是因為他們雖然有能力做任何事,但畢竟本職是負責傳輸,除了打打小廣告之外,一般還是能夠保證傳輸內(nèi)容的安全的。因此當你碰到這種情況時不必過于緊張,打個電話投訴下也就完事了。

為什么強調(diào)『可信』這個概念,是相對于下面這個case來說的?!嚎尚拧坏倪\營商在『有利位置』,這是沒辦法改變的。但要是我們不小心把『不可信』的不法分子也放到『有利位置』,那恐怕就不是被打打廣告這個簡單了。所謂的『不可信』就是下圖這種情況。

 

之前的圖中紅色節(jié)點是我們家里自己的wifi,那是可以保證安全的。但如果你是出門在外,使用的是餐廳、咖啡館、酒店、機場的wifi,那還能保證安全嗎?當然不能!雖然一般公共場所提供wifi也就是個便民服務(wù),沒啥心機。但假設(shè)你不幸連接到的是不法分子故意開放的wifi,那危害就很大了。

 

這些不法分子可以窺探你所有的請求以及服務(wù)器的返回,那簡直就是想干啥就干啥了。以下為YY場景。

  • 假設(shè)正好你上的某個小眾網(wǎng)站技術(shù)水平不高,你的用戶名密碼都是以明文或可逆的加解密算法傳遞的話,不法分子就能拿到你的用戶名密碼了。當然不法分子可能對你的小眾網(wǎng)站并不感興趣,看了一眼就關(guān)了。但是他轉(zhuǎn)念一想,由于記憶困難,一般人對不同網(wǎng)站用同一個密碼的可能性很大。因此他會拿著你的用戶名密碼去qq、淘寶、支付寶等大網(wǎng)站嘗試。一旦你真的用了同樣的密碼,那就中招了。再想得邪惡點,假設(shè)你看的那個簡陋的小眾網(wǎng)站,本身就在收集用戶名密碼呢?? 因此對于一般人來說,建議至少能夠?qū)嵭泻唵蔚拿艽a分級,重要的大網(wǎng)站搞一個復(fù)雜的密碼,平時隨便看看的小眾網(wǎng)站就搞個簡單密碼吧。
  • 你訪問的是正規(guī)網(wǎng)站,技術(shù)水平OK,密碼都是通過加鹽MD5傳輸?shù)模悄憔秃馨踩?NO!在web應(yīng)用中,每當用戶登錄時,服務(wù)器都會為其生成一個『令牌』。在后續(xù)用戶的各種操作時,用戶都需要將這個『令牌』帶在請求中,以此來告訴服務(wù)器用戶的合法身份。不法分子完全可以通過分析web應(yīng)用的請求,找到其中的令牌字段。一旦拿到這個令牌,那不法分子就擁有和用戶一樣的權(quán)限了。這個問題比上一個問題好一些的地方在于,令牌是有時效性的。比如今天一個用戶的令牌在訪問某網(wǎng)站時被人獲取了,那不法分子就可以用這個令牌和真正的用戶一起訪問該網(wǎng)站了。但如果真正的用戶退出登錄了,那不法分子這邊也就不再能訪問了。同時拿了網(wǎng)站A的令牌只能訪問網(wǎng)站A,不法分子沒辦法去sh試網(wǎng)站BCD。
  • 上兩個場景都需要不法分子提前對用戶訪問的網(wǎng)站進行分析,這樣才能知道哪個字段才是密碼或令牌。雖然有時不法分子水平一般,不能從請求中找到密碼或令牌。但至少用戶訪問的網(wǎng)站及內(nèi)容是一目了然的。用戶發(fā)的微博、看的新聞、上傳的照片、心情日記等等隱私全都被暴露了,也難怪網(wǎng)上經(jīng)常會爆出『XX門』了。

上述兩次例子中,運營商和公共wifi提供者要么是竊聽了用戶的請求,要么是往服務(wù)器的返回中加點料。不管具體方法是啥,問題的本質(zhì)在于HTTP請求和返回都是明文的。導(dǎo)致一路上這么多節(jié)點,每個節(jié)點都可以拿點它需要的信息,或者往里再加點料~

除此之外,HTTP的另一個問題是沒法校驗返回給你內(nèi)容的服務(wù)器是否是目標服務(wù)器。這說的有些拗口,也沒法找到真實的應(yīng)用層實例,那我們來看下類似的一個例子吧。

 

如圖所示是防火墻設(shè)備阻止用戶訪問特定網(wǎng)站的一種技術(shù),有些公司會禁止員工訪問游戲、股票等網(wǎng)絡(luò)服務(wù),就會用到這種技術(shù)(國家有時候也可以看做一個公司?)。HTTP基于TCP/IP協(xié)議之上,借助DNS協(xié)議的配合,幫助用戶只需要記住一個好記的單詞(域名或叫網(wǎng)址),就能訪問到特定的網(wǎng)絡(luò)服務(wù)。這個路由的原理不在本文范圍之內(nèi),但TCP/IP + DNS + HTTP這套機制能夠work的原因同樣基于一個假設(shè)——網(wǎng)絡(luò)環(huán)境是可信的,網(wǎng)絡(luò)中的每個節(jié)點都會按照協(xié)議要求有序運作。上圖中的橙色節(jié)點在用戶訪問百度時正常工作,但在訪問youtube時則沒有把請求往上傳遞,而是直接回復(fù)用戶不能響應(yīng)請求。(TCP RST為斷開TCP連接)還有一種情況下請求還是往上傳遞到目標服務(wù)器了,但中間節(jié)點卻提前回復(fù)了一個TCP RST。用戶端瀏覽器收到一個TCP RST后并不知道真相,以為是要訪問的服務(wù)拒絕了我們的請求,因此就關(guān)閉了請求。而實際上服務(wù)器是無辜的,有節(jié)點偽裝了它。

上述例子還是我們『可信』的運營商或者防火墻提供商進行網(wǎng)絡(luò)管理的一種手段,其結(jié)果也就是用戶上不了某些網(wǎng)站而已,影響不是太大。和明文問題一樣,要是碰到的是一個『不可信』的節(jié)點,那問題就大得多。

 

上圖是網(wǎng)上找的一個釣魚網(wǎng)站的例子,這個問題大家現(xiàn)在都很注意了。不法分子將假網(wǎng)站做的和真網(wǎng)站一模一樣,通過聊天工具或短信騙用戶點擊訪問,企圖利用假網(wǎng)站騙取用戶的用戶名密碼。這種做法能夠被大多數(shù)人注意的原因是其網(wǎng)址和真網(wǎng)站不同,但如果把釣魚網(wǎng)站這個方式往上面的例子套,那就完全能以假亂真了。這種問題對于HTTP請求來說幾乎沒有分辨的辦法。

上述兩個例子都是用戶沒有訪問到真正的目標服務(wù)器,而是由某個惡意節(jié)點偽裝成目標服務(wù)器給用戶返回了內(nèi)容。這種方式在一般的上網(wǎng)過程中是幾乎無法分辨的,只有技術(shù)人員刻意進行分析時,才能發(fā)現(xiàn)這種偽裝HTTP服務(wù)器的情況。

至此全文一共聊了四個例子,說明了HTTP存在的兩個安全問題

  • 明文
  • 無法驗證服務(wù)器的真實性

為了解決這兩個問題,我們引入TLS(傳輸層安全)協(xié)議。運行在TLS協(xié)議之上的HTTP協(xié)議稱作HTTPS,簡而言之大家日常上網(wǎng)時盡量使用HTTPS網(wǎng)址來代替HTTP網(wǎng)址,就可以大大提到安全性了~

上篇結(jié)束,下篇會介紹下TLS的大致原理,解釋其為啥能夠保證安全。

責任編輯:龐桂玉 來源: segmentfault
相關(guān)推薦

2016-10-10 23:00:18

2022-10-28 18:36:18

2011-02-21 11:15:12

2011-08-01 10:36:01

2021-08-08 14:19:46

網(wǎng)絡(luò)安全黑客互聯(lián)網(wǎng)

2020-12-04 08:34:08

數(shù)據(jù)分析 數(shù)據(jù)處理 效率

2013-06-04 09:07:49

OpenStack開源技術(shù)開源云計算

2023-11-07 07:41:27

淘寶京東確認收貨

2009-12-29 19:35:56

2015-06-09 11:46:33

物聯(lián)網(wǎng)5G

2024-04-12 00:00:00

數(shù)字化轉(zhuǎn)型企業(yè)數(shù)字革命

2021-07-07 12:36:10

HTTPSSSL通信

2025-06-17 09:31:53

2021-04-19 15:26:40

物聯(lián)網(wǎng)設(shè)備管理平臺IoT

2016-11-23 10:56:35

2021-01-29 08:19:50

HTTPS安全傳輸

2021-01-07 14:17:31

Springboot數(shù)據(jù)安全加密

2016-11-29 15:22:47

協(xié)議應(yīng)用層安全層

2014-11-17 01:46:51

人工智能

2025-04-10 11:41:09

點贊
收藏

51CTO技術(shù)棧公眾號