Http与信息安全
文章平均质量分 72
牛麦康纳
主攻运维安全基础平台架构设计与落地
展开
-
Vault的程序侧接入方式-AppRole
程序侧的接入对于Vault来说也是一种Accessor的接入,而AppRole绝对不是Vault首推的程序侧接入方式,但它是最方便的接入方式。原创 2022-12-31 19:13:05 · 1475 阅读 · 0 评论 -
Vault-如何与运维体系融合
上一篇《Vault-敏感信息保护的一种大胆尝试》介绍了解决运维体系中安全问题的一个基石地位的平台Vault,本篇跟大家分享下Vault如何与运维体系集成和联动。原创 2022-11-07 10:09:45 · 1547 阅读 · 0 评论 -
Vault-敏感信息保护的一种大胆尝试
Vault对所有的模块都是以插件化的方式提供好了接口和规则,并内置了一些常用插件的实现,这种设计跟Terraform和Packer一样,很符合HashiCorp的气质。从产品的生命周期和灵活度来考虑,个人觉得是个很有潜力的产品。原创 2022-09-06 11:37:47 · 1421 阅读 · 0 评论 -
敏感信息监控通用方案
背景: 春节过后公司有个核心部门遭到竞争对手的强力挖角,所谓铁打的营盘流水的兵,人员的流失并不可怕,公司担心的是wiki这类的文档中心里的设计、方案、策划等核心资料外泄。所以必须要加强文档库敏感操作的监控,及时止损。分析: 如果文档库是开源或者自研产品,可以通过修改代码满足上述需求,如果像我们一样使用confluence这样的黑盒产品就比较头疼了。Confluence对内容的导出分为两个维度:项目维度和页面维度。其中项目维度的导出Confluence内置了审计日志,而且我们已经通过权限控...原创 2020-06-01 09:18:24 · 1064 阅读 · 0 评论 -
Jira的终极应用--Http升级为Https
需求背景:由于对网络安全的监督和管控越来越严格,chrome等浏览器强制要求https看样子也是大势所趋,所以我们遇到了服务http升级为https协议的需求。我们企业对外的服务早已经是https协议了,但是内部一些工具的改造还在起步阶段,本篇的改造策略只是拿jira和confluence来举个实战例子,其思想和步骤可以试用于其他场景。http存在的漏洞和https是如何解决这些安全问题的...原创 2020-01-21 17:56:10 · 4624 阅读 · 0 评论 -
详解Https出现的前因后果
虽然自己不直接从事互联网行业,但是对互联网行业的技术一直没有放松学习,特别是安全方面一直是我薄弱的方面,所以最近踏下心来好好的研究了下互联网安全方面的内容。网上关于SSL、Https的学习资料比较多,有些讲的太宽泛,有些讲的又不容易理解,我以自己的角度和自己的顺序来好好摸清这些内容。 首先澄清3个概念:SSL、TLS、Https。SSL:Secure Sockets Layer,中...原创 2017-12-05 18:51:46 · 763 阅读 · 0 评论 -
Python验证RSA非对称加密
加密方式从密钥是否相同的角度分为对称加密和非对称加密。对称加密:“加密”和“解密”使用【相同的】密钥。非对称加密:“加密”和“解密”使用【不相同的】密钥。非对称加密服务端生成一对密钥(公钥和私钥),将公钥公开给访问者,要求访问者通过公钥来加密,自己通过私钥来解密。从效率上来讲,对称加密速率快很多,但是密钥的保存和传输的安全性成了很大的风险;而非对称加密只传输公钥,没有私钥是无法解开密文的,所以安全性更高,但是开销更大。现阶段流行的非对称加密是RSA加密,本文主要解释下RSA非对称加密,并用Pyt原创 2017-12-04 18:27:07 · 968 阅读 · 2 评论 -
Cookie详解与跨域问题
Http是无状态的协议,客户端每次对服务端的http请求都是独立的,不受该客户端其它的请求的影响。为了把Http这个无状态协议变的与上下文有关系,我们引入了会话(Session)的概念,具有相同会话ID的请求使之变成了有状态。服务端可以给请求setSession的信息,信息保存在服务端内存,同时在response时将session内容推送给客户端浏览器,浏览器为了保存SessionID等信息,又有了Cookie这玩意,Cookie本质是一块存储少量数据的存储空间,可以存到内存也可以写入磁盘。每次浏览器向原创 2017-11-23 18:22:21 · 6721 阅读 · 0 评论 -
OAuth2.0与SSO比较
OAuth2.0网上资料经常拿来跟SSO混为一谈,个人觉得这两个概念一定要区分开,根本是两回事。SSO是为了解决一个用户在鉴权服务器登陆过一次以后,可以在任何应用中畅通无阻,一次登陆,多系统访问,操作用户是实打实的该应用的官方用户,用户的权限和分域以鉴权服务器的存储为准。OAuth2.0解决的是通过令牌获取某个系统的操作权限,因为有clientId的标识,一次登陆只能对该系统生效,第三方应用的操作用户不是鉴权系统的官方用户,授权权限鉴权中心可以做限制。原创 2017-12-19 21:14:40 · 16976 阅读 · 0 评论 -
SpringBoot模拟单点登录
简言之,系统内部通过某种技术实现用户统一登录和注销,所以单点登录技术一定要包括两部分:登录、注销。出现的原因是Cookie不能跨域。认证客户端应该具备的能力:1必须以Filter或者插件等形式提供,方便系统接入SSO。2未登陆的用户重定向到SSO认证中心3接收SSO发来的令牌并将该令牌发回给SSO做令牌认证4处理令牌认证结果并创建局部会话5拦截用户注销请求并重定向到SSO6处理SSO发来的注销会话请求 认证服务端应该具备的能力:0独立的web服务1提供登陆页面,和对用户的校验2创建全原创 2017-11-30 21:48:34 · 13383 阅读 · 16 评论 -
Http协议详解
七层网络协议,http请求和返回报文格式,返回状态,请求方法,以及各自的特点。原创 2017-10-23 16:40:24 · 544 阅读 · 0 评论