HTTPS是如何保证安全的,2024BTAJ面试真题详解

最新推荐文章于 2024-11-02 09:00:17 发布
最新推荐文章于 2024-11-02 09:00:17 发布
阅读量600 收藏 24
点赞数 18
分类专栏: 2024年程序员学习 文章标签: https 安全 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76225520/article/details/137702367
版权

对称加密

加密和解密同用一个秘钥的方式称为 共享秘钥加密,也被叫做对称秘钥加密。

对称加密

  • 浏览器发送给服务端 client_random 和一系列加密方法

  • 服务端发送给浏览器 server_random和加密方法

现有浏览器和服务器有了三个相同的凭证:client_randomserver_random和加密方法 用加密方法把 client_randomserver_random 两个随机数混合起来,生成秘钥,这个密钥就是浏览器和服务端通信的暗号。

存在的问题:第三方可以在中间获取到client_randomserver_random和加密方法,由于这个加密方法同时可以解密,所以中间人可以成功对暗号进行解密,拿到数据,很容易就将这种加密方式破解了。

非对称加密

非对称加密

  • 浏览器发送给服务端 一系列加密方法

  • 服务端发送给浏览器 加密方法以及公钥

之后浏览器通过公钥将数据加密传输给服务端,服务端收到数据使用私钥进行解密。服务端给浏览器发送数据,则使用私钥进行加密,浏览器收到服务端发送过来的数据,使用公钥进行解密。

存在的问题:

  1. 非对称加密效率太低, 这会严重影响加解密的速度,进而影响到用户打开页面的速度。

  2. 无法保证服务器发送给浏览器的数据安全, 服务器的数据只能用私钥进行加密(因为如果它用公钥那么浏览器也没法解密啦),中间人一旦拿到公钥,那么就可以对服务端传来的数据进行解密了,就这样又被破解了。

HTTPS使用对称加密和非对称加密结合

传输数据阶段依然使用对称加密,但是对称加密的秘钥我们采用非对称加密传输。

HTTPS加密

  • 浏览器向服务器发送client_random和加密方法列表。

  • 服务器接收到,返回server_random、加密方法以及公钥。

  • 浏览器接收,接着生成另一个随机数pre_master, 并且用公钥加密,传给服务器。(重点操作!)

  • 服务器用私钥解密这个被加密后的pre_master。

到此为止,服务器和浏览器就有了相同的  client_randomserver_random 和 pre_master, 然后服务器和浏览器会使用这三组随机数生成对称秘钥。有了对称秘钥之后,双方就可以使用对称加密的方式来传输数据了。

CA (数字证书)

使用对称和非对称混合的方式,实现了数据的加密传输。但是这种仍然存在一个问题,服务器可能是被黑客冒充的。这样,浏览器访问的就是黑客的服务器,黑客可以在自己的服务器上实现公钥和私钥,而对浏览器来说,它并不完全知道现在访问的是这个是黑客的站点。

服务器需要证明自己的身份,需要使用权威机构颁发的证书,这个权威机构就是 CA(Certificate Authority), 颁发的证书就称为数字证书 (Digital Certificate)。

对于浏览器来说,数字证书有两个作用:

  1. 通过数字证书向浏览器证明服务器的身份

  2. 数字证书里面包含了服务器公钥

下面我们来看一下含有数字证书的HTTPS的请求流程

含有数字证书的HTTPS的请求流程

相对于不含数字证书的HTTPS请求流程,主要以下两点改动

  1. 服务器没有直接返回公钥给浏览器,而是返回了数字证书,而公钥正是包含数字证书中的;

  2. 在浏览器端多了一个证书验证的操作,验证了证书之后,才继续后序流程。

参考

  • 如何用通俗易懂的话来解释非对称加密?[1]

  • 十分钟搞懂HTTP和HTTPS协议?[2]

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

4613353c120c9543810.png)

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-WskFRQqM-1712954271568)]

说又槐
关注
专栏目录
2024嵌入式面试资料中兴C++面试真题
06-09
根据给定文件的信息,我们可以提炼出与“2024嵌入式面试资料中兴C++面试真题”相关的知识点,主要包括C++基础知识、嵌入式系统基础、以及面试技巧等几个方面。下面将逐一进行详细阐述。 ### C++基础知识 #### 1. *...
HTTPS 原理和常见面试题及解析
qq_33665793的博客
02-28 1589
2. 第二步(SYN + ACK):服务端收到客户端的 SYN 包后,如果同意建立连接,则会发送一个 SYN+ACK 包,其中 SYN 标志位被设置为 1,ACK 标志位也被设置为 1,同时将确认号设置为客户端的 ISN+1,表示对客户端的连接请求进行确认。3. 第三步(ACK):客户端收到服务端的 SYN+ACK 包后,会发送一个确认包 ACK 给服务端,确认号设置为服务端的 ISN+1,表示对服务端的连接确认。在互联网安全领域,HTTPS 是一个非常重要的协议,也是很多技术岗位面试中经常涉及的话题。
HTTPS原理解析—层层深入,刨根问底(1),面试总结+解答分享
2401_84149635的博客
04-08 948
以下用简短的Q&A形式进行全文总结:Q: HTTPS 为什么安全?A: 因为 HTTPS 保证了传输安全,防止传输过程被监听、防止数据被窃取,可以确认网站的真实性。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
面试题】http与https相关面试题(持续收录)
zhaoliubao1的博客
03-29 1336
中间人攻击(Man-in-the-Middle Attack)是指攻击者在通信的两端之间插入自己,并劫持通信双方之间的数据传输。攻击者可以窃听、篡改或伪装通信内容,而通信双方并不知情。下面是中间人攻击的一般工作流程:建立连接:通信的两端(通常是客户端和服务器)试图建立连接,以便进行数据传输。中间人介入:攻击者在通信路径上插入自己,使其成为通信的中间环节。这可以通过多种方式实现,例如在网络层面进行路由欺骗、在物理层面进行线路截获,或者通过恶意软件在用户设备上进行操作。
面试常问:HTTPS的加密过程 ----- 光明和黑暗的恩怨情仇
GoodManS的CSDN
11-20 1034
你给女朋友互相写情书,但是你们发出的信件居然连信封都没有,而送信的邮差恰恰是个流氓。。。(画面太美,想象不下去了) 还有更猛烈的。运营商即使再无节操,也是有基本底线的。但如果黑客利用运营商强上你的时候留下的漏洞,“黑吃黑”地再次劫持了你的数据,那么事情的发展就不在掌握中了。黑客完全可以调用你的摄像头、获取你的所有登陆密码、读取或修改你手机上的所有文件,包括照片,嗯。
前端技能树,面试复习第 31 天—— 计算机网络:HTTPS 协议详细解析
前端进阶之路 | 中大厂、外企、国企内推 | 面试培训 | 简历修改
07-22 616
超文本传输安全协议(HypertextTransferProtocolSecure,简称HTTPS)是一种通过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,利用SSL/TLS来加密数据包。HTTPS的主要目的是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。HTTP协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,而协议TLS/SSL具有身份验证、信息加密和完整性校验的功能,可以避免此类问题发生。安全层的主要职责就是和。.........
8~15k,网络安全面试真题.pdf
02-05
2. 工作中常用的安全设备 3. 有没有用过态势感知? 4. 之前工作经验? 5. 怎么做安全加固? 6. 怎么提权? 7. 渗透流程? 8. 介绍下黄金票据、白银票据? 9. Windows、Linux常用漏洞及编号? 10. Windows常用端口? ...
2023 Java面试真题详解
12-28
6 在如下代码中,当调用insertA 方法的时候,是否能做当insertA 到当调用insertB的时候,如果imnsertB 插入b表的时候有异常,能否保证 insertA0中的a 表插入成功,如果不能,应该如何修改。 7. springboot是如何管理...
一线互联网大厂Android面试真题详解.pdf
04-10
在标题《一线互联网大厂Android面试真题详解.pdf》和描述《Android面试宝典》中,我们能够了解到这份文件聚焦于一线互联网公司,尤其是字节跳动等大厂在Android开发岗位的面试问题,以及对这些问题的详细解答。...
2024嵌入式面试资料嵌入式岗位笔试面试真题讲解文档
06-09
根据给定文件的信息,我们可以提炼出与嵌入式系统求职面试相关的多个知识点,这些知识点将有助于准备参加2024年嵌入式岗位的笔试和面试。以下是对这些知识点的详细解析: ### 1. 嵌入式系统的概念与应用领域 - **...
网络篇:朋友面试https认证加密过程
潜行前行的专栏
01-16 4478
前言 上次朋友关于TCP/IP面试的后续,主要是https的相关面试要点,请看下文 关注公众号,一起交流,微信搜一搜: 潜行前行 面试官:HTTPS它的认证加密过程是怎样,它怎么保证内容不会被篡改 朋友:1,https是基于tcp协议的,客户端先会和服务端发起链接建立 朋友:2,接着服务端会它的证书返回给客户端,证书里面包括公钥S.pub,颁发机构,有效期等信息 朋友:3,拿到的证书可以通过浏览器内置的根证书C.pub验证其合法性 朋友:4,客户端生成随机的对称秘钥Z,通过服务端的公钥S.pub加密发给
HTTP和HTTPS协议:面试问题(请简述http和https,https如何加密的?)
屈小康
05-18 693
HTTP和HTTPS发展历史 1、什么是HTTP? http是超文本传输协议,是一个基于请求与响应,无状态的,应用层的协议,常基于TCP/IP协议传输数据,互联网上应用最为广泛的一种网络协议,所有的www文件都必须遵从这个标准。设计http的初衷是为了提供一种发布和接收html页面的方法 还有一种问题:tcp和udp的区别是什么? Udp:首先udp协议是面向无连接的,也就是说不需要在正式传递数据之前先链接起双方。然后udp协议只是数据报文的搬运工,不保证有序且不丢失的传递给对端,并且udp协议也没有
day05|计算机网络重难点之 HTTPS和HTTP的区别、HTTPS的工作原理(HTTPS建立连接的过程)、TCP和UDP的区别
2402_84438596的博客
10-30 972
day05|计算机网络重难点之 HTTPS和HTTP的区别、HTTPS的工作原理(HTTPS建立连接的过程)、TCP和UDP的区别
《深入浅出HTTPS​​​​》读书笔记(4):密码学
最新发布
earthzhang2021的博客
11-02 570
完整性表示接收方能够确保接收到的数据就是发送方发送的原始数据,假设数据被中间人篡改,接收方如果有策略知晓数据被篡改了,那么传递的数据就具备完整性。解决HTTP安全的方法就是采用HTTPS,理解HTTPS之前必须掌握基本的密码学知识,HTTPS本质上就是对密码学算法的组合。在网络中传递的数据如果具备机密性,那么传输的数据就是一串无意义的数字,只有拥有密钥的才能解释这些数据,密钥是加密算法的关键。互联网应用一般都有发送方和接收方,对于接收方来说,必须确认发送方的身份,才能确保收到的数据就是真实发送方发送的。
qt配置https请求
weixin_42485732的博客
10-29 302
这一步应该难倒最多人的的步骤,网上众说纷纭,有用的凤毛麟角,何谓有用,按照帖子的步骤操作完,请求一个https地址能返回内容,而不是直接走到加密验证那一步就被打回来了。创建项目,拖控件等等基础操作就不演示了,这个专栏的目标受众是解决项目中的问题,初学者补齐基础再看也不迟。上述的地址是我的安装位置,在你的电脑上需要更换到你的地址,相信能看这篇帖子你一定知道这些。可以看到,请求是没问题的,只是没有有效传参,返回了错误页,但绝是来自搜狗的。
NodeJS:利用 Axios 实现 HTTP、HTTPS 和 SOCKS5 代理请求
weixin_53510183的博客
10-30 414
在日常开发中,网络请求是不可避免的。通过使用代理服务器,可以更好地控制请求的来源、隐藏 IP 地址,或者绕过网络限制。在本篇文章中,我将分享如何使用axios库结合 HTTP、HTTPS 和 SOCKS5 代理来发送网络请求,并详细介绍实现过程。
提升网站安全HTTPS的重要性与应用指南
2403_88303216的博客
10-31 783
在数字时代,网站安全性至关重要。HTTPS协议通过加密数据传输,保护用户信息,提升网站的信誉和搜索引擎排名。本指南将探讨HTTPS的重要性,分析其对网站安全的影响,提供实施HTTPS的最佳实践和应用技巧,让每一个网站都能在安全的环境中运营。
体验 httpsok 的SSL证书自动续期魔力.
jiazhao1224的博客
10-29 850
SSL证书自动续期
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
A_Lonely_Smile的博客
10-29 969
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
华为嵌入式软件面试真题详解
"华为面试真题集包含了2013年至2015年华为公司对嵌入式软件工程师的面试问题,其中包含了答案。这份资料来自UTips校招平台,旨在帮助求职者准备华为公司的面试,提供关于预编译、指针类型、sizeof运算符在处理数组时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值