最全面试官:你觉得HTTPS能防止重放攻击吗?(2),快手三面面试真题

最新推荐文章于 2024-06-14 15:02:13 发布
最新推荐文章于 2024-06-14 15:02:13 发布
阅读量557 收藏 10
点赞数 9
分类专栏: 程序员 文章标签: java 面试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84584609/article/details/138826071
版权

总结

面试建议是,一定要自信,敢于表达,面试的时候我们对知识的掌握有时候很难面面俱到,把自己的思路说出来,而不是直接告诉面试官自己不懂,这也是可以加分的。

以上就是蚂蚁技术四面和HR面试题目,以下最新总结的最全,范围包含最全MySQL、Spring、Redis、JVM等最全面试题和答案,仅用于参考

一份还热乎的蚂蚁金服面经(已拿Offer)面试流程4轮技术面+1轮HR

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

需要这份系统化的资料的朋友,可以点击这里获取

  • (1)客户端生成一个随机数client_random,TLS版本号,发送到服务端

  • (2)服务端发送自己的随机数server_random,服务器使用的证书,发送到客户端

  • (3)客户端利用CA公钥对证书进行验证,取出服务器公钥

  • (4)客户端生成随机数pre_master_secret,利用服务器公钥进行加密,传送到服务端

  • (5)服务端利用服务器私钥进行解密取出pre_master_secret

  • (6)服务端和客户端此时利用随机数client_random,server_random,pre_master_secret算出对称密钥(master_secret),利用对称密钥进行对称加密通信

_画外音:_是不是贼熟悉,有背过网络八股文的,一看就懂!

关键问题就在步骤(6),怎么进行加密的?很多文章都没有说明,甚至有的人以为,拿client_random+server_random+pre_master_secret直接拼成一个字符串,然后就是对称加密密钥,客户端和服务端拿这个密钥对数据进行加密通信!!

对此,我只能说:“Too young too simple!离谱啊!!”

那正确的过程是怎么样的呢,我们继续往下看!

协议分析

====

我先给本文提到的英文单词,给上我的中文翻译,以防大家混淆:

  • client_random 客户端随机数

  • server_random 服务端随机数

  • pre_master_secret 预备主密钥

  • master_secret 主密钥

  • key_block 密钥块(有的文章把这个东西称为会话密钥)

先大致有个印象,继续往下阅读

现在我们已经有三个参数client_random,pre_master_secret,server_random,服务端和客户端分别会根据这三个参数,推导出master_secret,一旦master_secret被推导出来,会立刻删除pre_master_secret。(摘自rfc2246,section8.1

当master_secret计算出以后,立刻计算key_block(摘自rfc2246,section6.3),这个密钥块,有的文章里又说他是会话密钥!计算公式如下,

key_block = PRF(master_secret,

“key expansion”,

server_random +

client_random)

如公式所示,PRF是一个Hash算法,如SHA256这些,具体用哪一个取决于TLS协议的版本!我们得到key_block后,可以基于到key_block继续推导出6个密钥值,分别是

  • client_write_MAC_key 客户端消息认证码密钥

  • server_write_MAC_key 服务端消息认证码密钥

  • client_write_key 客户端对称加密密钥

  • server_write_key 服务端对称加密密钥

  • client_write_IV 客户端初始化向量

  • server_write_IV 服务端初始化向量

整个过程用一张图来说明,注意了这六把密钥是根据key_block推导而出,也就是意味着这六把密钥是服务端和客户端共同持有的!

面试官:你觉得HTTPS能防止重放攻击吗?

大家一定也发现了,你的密钥前都带有client或者server前缀,这代表密钥是服务端使用还是客户端使用!例如,客户端用client_write_key进行数据加密,发送数据,服务端收到消息后利用client_write_key进行解密。而后服务端使用server_write_key进行数据加密回复信息,客户端收到消息后用server_write_key解密服务端发来的信息!

OK,我们继续往下看!

现在我们已经有了6把密钥了,已经需要发送的消息data,那么加密流程具体怎么样的呢?

TLS一共有三种加密模式,流加密模式、分组模式、 AEAD 模式,我以流加密模式来进行说明,如下图所示

面试官:你觉得HTTPS能防止重放攻击吗?

我们现在来看上面的第二步,利用write_mac_key对数据加密,加上MAC验证码,利用MAC码来保证完整性。

那么,这个MAC验证码的生成公式又是怎么样的呢?

MAC验证码

======

总结

总体来说,如果你想转行从事程序员的工作,Java开发一定可以作为你的第一选择。但是不管你选择什么编程语言,提升自己的硬件实力才是拿高薪的唯一手段。

如果你以这份学习路线来学习,你会有一个比较系统化的知识网络,也不至于把知识学习得很零散。我个人是完全不建议刚开始就看《Java编程思想》、《Java核心技术》这些书籍,看完你肯定会放弃学习。建议可以看一些视频来学习,当自己能上手再买这些书看又是非常有收获的事了。

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

需要这份系统化的资料的朋友,可以点击这里获取

(https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)收录**

需要这份系统化的资料的朋友,可以点击这里获取

2401_84584609
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
字节面试:你觉得HTTPS防止攻击吗?
m0_74530944的博客
04-07 912
Java架构学习技术内容包含有:Spring,Dubbo,MyBatis, RPC, 源码分析,高并发、高性能、分布式,性能优化,微服务 高级架构开发等等。还有Java核心知识点+全套架构师学习资料和视频+一线大厂面试宝典+面试简历模板可以领取+阿里美团网易腾讯小米爱奇艺快手哔哩哔哩面试+Spring源码合集+Java架构实战电子书+2021年最新大厂面试。《一线大厂Java面试解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!
深入剖析!快手三面面试
weixin_57485542的博客
06-23 830
前言 上个星期刷朋友圈的时候看到一个以前的同事去京东面试了,去打听都问了些啥,并让我这朋友稍稍整理了一下,因为就有了今天这篇文章啦~ 此次所例举的面试全部都是哟 ~ 总共3面技术1面HR 一面基本上就是基础面了,大概是花了1个小时;二面的话就问MySQL数据库比较多,三面就是综合面了…不过总的来讲,其实这次的面经最主要是围绕MySQL、事务隔离、乐观锁、HashMap、秒杀设计、微服务等方面的知识展开的了。 本文已收录在我的腾讯文档,且相关的面试解析都有整理在我所创建的项目【2021一线互联网大
快手三面(Java岗位),offer已拿,面试都问了些啥?
weixin_49891941的博客
03-12 1062
快手的面试挺有挑战性的感觉哈哈哈哈,不过我觉得挺有意思的,感觉啥都能问到。(二面是10天前约的面试,差点要忘了)然后是HR面,昨天就收到offer 一面二面啥的我都忘记具体的了,就简单的总结一下 1基础 int float short double long char 占字节数? int 范围?float 范围? hashcode 和 equals 的关系 深拷贝、浅拷贝区别 java 异常体系?RuntimeException Exception Error 的区别,举常见的例子 lambda 表达式中
Java架构师全路线总结+高频面试(2021年最新版),快手三面面试
m0_63174420的博客
11-10 1497
======= 并发编程进阶 (并发工具类实战+CAS+显示锁解析+线程池内部机制+性能优化) JVM深度剖析 (理解运行时数据区+堆外内存解读+JDK+内存泄漏问排查+Arthas+GC算法和垃圾回收器+类加载机制等) MySQL深度进阶 深入Tomcat底层 (线程模型+性能调优) 3-5年资深: ======= 数据库(调优+事务+锁+集群+主从+缓存等) Linux(命令+生产环境+日志等) 中间件&分布式 (dubbo+MQ/kafka、Elasti
正在准备面试?快手三面面试,搞懂这些直接来阿里入职
m0_56830725的博客
04-29 1712
最近几天,有的人在偷偷地买蚂蚁的基金,有的人却偷偷的在蚂蚁面试。 最近确实是面试的好时候。大家都奔着大厂去的,最近也分享了好多大厂的面经了,什么阿里、字节、京东、美团、百度、腾讯、滴滴、网易…已经数不清有多少了。(是我菜了) 这里分享一下蚂蚁金服5面过程与面试总结 01 阿里中间件(四面,Java岗) 1.1 Java中间件一面 技术一面考察范围 点问了Java线程锁:synchronized 和ReentrantLock相关的底层实现 线程池的底层实现以及常见的参数 数据结构基本都问了一遍.
最全【Java成王之路】第一篇:Java SE入门(1),快手三面面试
2301_82242014的博客
05-13 508
对于面试,一定要有良好的心态,这位小伙伴面试美团的时候没有被前面阿里的面试影响到,发挥也很正常,也就能顺利拿下美团的offer。小编还整理了大厂java程序员面试涉及到的绝大部分面试及答案,希望能帮助到大家,也祝愿大家都能够升职加薪!本文已被CODING开源项目:【一线大厂Java面试解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取87682336)]也祝愿大家都能够升职加薪!本文已被。
2024年最全面:了解Linux内存管理吗?我直接把这10张图甩给他,面试经历分享
2401_84688516的博客
05-08 908
还有Java核心知识点+全套架构师学习资料和视频+一线大厂面试宝典+面试简历模板可以领取+阿里美团网易腾讯小米爱奇艺快手哔哩哔哩面试+Spring源码合集+Java架构实战电子书+2021年最新大厂面试。今天来带大家研究一下Linux内存管理。对于精通 CURD 的业务同学,内存管理好像离我们很远,但这个知识点虽然冷门(估计很多人学完根本就没机会用上)但绝对是基础中的基础,这就像武侠中的内功修炼,学完之后看不到立竿见影的效果,但对你日后的开发工作是大有裨益的,因为你站的更高了。
程序员面试快手后感慨:你们经历过绝望吗?三个面试都是清华的
weixin_42625143的博客
10-11 1437
一名程序员在面试完快手后如此感叹:快手的要求确实高,比阿里难进100倍,三个面试都是清华的,全是问的acm和算法。 所谓同行相轻,马上又网友评论:刷得好不代表解决问能力强,面试一般考一两个考察一下编程能力即可,全程都这个99%都是在装了;不喜欢快手,不认同这种价值观和直播模式,即使他们技术再好,清华人再多,也证明不了什么;快手典型硅谷面试,算法加系统设计,阿里还要问具体问,高级语法,实...
手写HashMap,快手面试直呼内行
热门推荐
三分恶的博客
11-23 2万+
快手一面,手写HashMap,卒……
快手二面:引入RabbitMQ后,你如何保证全链路数据100%不丢失?.zip
12-13
计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,...
【程序员面试宝典】2022年快手社招测岗面经
03-01
本文为个人整理的2022年快手社招测岗面经,流程包括:自我介绍+面试+手撕代码,内容包括:问+正确答案/参考答案/个人建议,祝各位实习校招社招秋招春招求职顺利! 【注】本文所有链接引用仅作为参考,不代表...
短视频创作平台 快手运营第三课:如何让你的账号立起“人设”?.pdf
09-21
【短视频创作平台 快手...2、如何便捷产出视频内容 3、视频发布注意事项 4、如何进行用户维护 5、如何借助粉丝头条实现账号冷启动 6、粉丝数据分析 7、如何进行直播 8、如何实现销售转化-快手小店 9、快手平台认证介绍
快手面试,不多,但
03-30
快手面试,不多,但实 本资源主要面向 Java 面试,涵盖了 Java 基础、 Android 开发、数据结构、算法和面试技巧等方面的知识点。 一、Java 基础 1. 面向对象的三大特性:封装、继承、多态 2. 抽象类和...
前端大厂最新面试-2020快手前端社招面经.docx
06-06
前端大厂最新面试-2020快手前端社招面经 在本文中,我们将从快手前端社招面经中提取出相关的知识点,并对每个问进行详细的解释。 1. JS 判断类型的方法 在 JavaScript 中,有多种方法可以判断变量的类型。...
【仿建模-anylogic】FlowchartPort原理解析
zhaoyaxuan001的博客
06-14 308
FlowchartPort是流图组件端口的基类,一般不会直接使用;如果需要自行封装组件库时会用到;FlowchartPort继承Port类,并定义了一系列抽象函数;用于输入端口判定此刻是否不能接收Agent。用于输出端口判定是否有Agent准备离开。判定端口是否发生错误。
盲盒App开发时有哪些技术框架可以借鉴
最新发布
bytekj的博客
06-14 529
在开发盲盒App时,可以根据项目需求和团队技术栈选择合适的技术框架。前端可以选择微信小程序框架、React Native或Vue.js等;后端可以选择Node.js或Spring Boot等;数据库可以选择MySQL或MongoDB等。同时,还需要考虑缓存、消息队列、支付和物流接口等其他技术来完善应用的功能和性能。
【Java02】Java中数组的定义与初始化
饮冰室
06-10 599
推荐第一种方式。这种方式容易让人理解,数据类型是type[],对象名称是arrayName。第二种方式有些老旧了。由于数组是一种引用变量(也就是一个指针),所以定义的时候还没有指向任何有效的内存空间,因此在定义数组的时候不能指定数组的长度,也不能直接使用。必须进行初始化。可以使用var让系统自动推断变量类型,既可以用于静态初始化,也可以用于动态初始化。
【2024最新华为OD-C/D卷汇总】[支持在线评测] CPU算力分配(100分) - 三语言AC解(Python/Java/Cpp)
清隆学长的博客
06-11 396
### 问描述 K小姐是某公司运营部门的主管,最近她需要对公司的两组服务器进行算力分配。每组服务器有多个算力不同的 $CPU$,其中 $A$ 组第 $i$ 个 $CPU$ 的运算能力为 $A[i]$,而 $B$ 组第 $i$ 个 $CPU$ 的运算能力为 $B[i]$。一组服务器的总算力是各 $CPU$ 的算力之和。 为了让两组服务器的算力相等,K小姐允许从每组各选出一个 $CPU$ 进行一次交换。她希望从 $A$ 组服务器中选出算力尽可能小的 $CPU$ 来交换,你能帮她计算出应该选择哪两个 $CP
请问快手有获取用户昵称公开的api接口吗?
06-08
很抱歉,我不清楚快手是否提供获取用户昵称公开的API接口。根据快手方的开发者文档,快手开平台提供了一些API接口,但具体的接口权限和数据访问限制可能会因为开发者的身份、用途等因素而不同。如果您需要使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值