用了HTTPS,没想到还是被监控了!

最新推荐文章于 2024-09-16 09:36:19 发布
最新推荐文章于 2024-09-16 09:36:19 发布
阅读量138 收藏
点赞数
文章标签: 网络 路由器 https ssl http
原文链接:https://mp.weixin.qq.com/s?__biz=MzUyODg4Nzk2MQ==&mid=2247540293&idx=4&sn=4e6c69fc925977954541f605e859a53d&chksm=fa6b67b3cd1ceea5c79b2c0482c96292e420d000691e4134691c1149aec45e949e008f560a3f&scene=126&&sessionid=0
版权

👇👇关注后回复 “进群” ,拉你进程序员交流群👇👇

作者丨轩辕之风O

来源丨编程技术宇宙(ID:xuanyuancoding)

大家好,我是轩辕。

上周,微信里有个小伙伴儿给我发来了消息:

e3181ee455b35caae69be4d88d608f11.png 45e1924d28a33e1bde2c1fd85b9922da.png

随后,我让他截了一个完整的图,我一瞅,是HTTPS啊!没用HTTP!再一瞅,是www.baidu.com啊,不是什么山寨网站!

我瞬间明白了些什么,让他点击了一下浏览器地址栏中那个表示安全的小锁标志,查看了一下网站使用的HTTPS证书。

267a5a3355ceeeb971b879766e11ec35.png

果然不出我之所料,证书不是官方的,官方的证书长这样:

b5d93e1d9e2e107290a72f2be904af41.png

而那个假的证书是他们公司签发的,看来,他们公司开始对HTTPS流量做解析了,这家伙瞬间瑟瑟发抖···

4f68c3befb8a601215fcffc43da5c951.png

今天就来跟大家聊一下:HTTPS真的安全吗?

现如今大家每天上网基本上看到的都是使用了HTTPS的网站,有时候特意想找一个HTTP的网站来让新同学练习抓包分析都不好找。

但在几年前,差不多我刚刚开始毕业工作(2014年)的时候,情况却不是这样的,网络上还有大量使用HTTP的网站。

大家知道,HTTP是超文本传输协议,数据内容在网络中都是明文传输的,非常不安全。同在一个宿舍里的同学,随便搞一个中间人劫持就能监听到你浏览了什么视频学习网站。

不仅如此,上网链路中包括寝室路由器在内的各级网络设备都可以探知你的数据,甚至给你插入小广告(其实这种现象现在依然存在,尤其是很多医院、学校的网站,还是很多都是用HTTP,特别容易粘上小广告),一不小心就跳到了广告页面,真是防不胜防。

不久,网站HTTPS化的浪潮很快打来,通过加密这一最简单直接的办法,将浏览器上网过程中传输的数据进行加密保护,上网内容的安全性得到了极大的提升。

我之前写过一篇故事深入浅出的描述了HTTPS的工作原理,还不懂的小伙伴儿可以学习一下,我经常也会在面试中考察候选人这个问题,这可以迅速帮助我知道对方对HTTPS的了解程度。

为了一个HTTPS,浏览器操碎了心···

咱们通过下面的快问快答环节来简单总结一下。

HTTPS为什么安全呢?

470650ca01fd52ad927efbbfa885e403.png

34802eafcde8dd7a083e1501d15c91ca.png

因为数据加密了啊~

baaeac62a012a591fd30b1688eb1b98c.png

afec8c53c1e8c7993b34f5ef3953b00e.png

那数据加密的秘钥怎么来的?

a5ca2b1901eb32ca1cfab5ce7052205a.png

e4b08126ed1a6b9a9f8ef8e6edeea870.png

是双方通过相同的随机数计算出来的。

ea3fb926e0505ccd5182eefb37b4cba8.png

4ee97aa44101bf37023c1e9d29d00394.png

那随机数怎么传输的?

433b8f51168f337c5d1b0526e75dee8d.png

6b66fecc541e3dc484a96ee4919a7cff.png

使用非对称加密传输的,浏览器使用服务器提供的公钥加密,只有服务器使用自己的私钥才能解开,别人解不开。

f14838b3793c677d614192fbf7e6b52a.png

324f5249db66689efc20321347fa8cb3.png

你怎么知道那是服务器的公钥,万一是别人的,中间人攻击呢?

06d5caecad1adc389fc5606372f04c97.png

bd38724a0c36168981481068a354a1f5.png

有证书来证明服务器身份

3456854fd42ca9e2914a3dba1acc86f6.png

9cbfd0e30065f62a15c49b05502e1766.png

证书万一是假的呢?

213c44e5a902f57645e615cce3aca37b.png

21e5174f2cb712056b7accbc48378de1.png

不可能,假的证书不是受信任的机构签发的,浏览器会验证通不过。

8a61a30ab88f4424bbf0443f918aedb8.png

46765bc524c292425d79a9a6df452184.png

那浏览器怎么知道证书的签发机构是不是受信任的?

b73d45de6256e5b4d67d35313aed5133.png

90f7654b331f13c8b2fe5940c528db6f.png

因为受信任机构的根证书安装到了系统中,你总得相信微软吧!

991a7e1c60932f92d6232946098de171.png

bf620cb6d750085c7ec34fb2a5e464a5.png

要是假的根证书被安装进了系统咋办?

f9b6f205f51a95d2e83192323a3bcbf8.png

d51a85fa801a54d6888d70f7ffa55896.png

14f0aeae11e2c10be36921c2fbac42d5.png

116952779fdf609c5051436a04cc3392.png

84ed1ef16e3e511d9f219a7e2bf5da10.png

看到了吧,HTTPS能够安全的基石是非对称加密,非对称加密建立的前提是对方真的是对方,如果这一个前提不成立,后面的一切都是假的!

网站服务器使用HTTPS进行通信时,会提供一个用于证明身份的证书,这个证书,将会由某个受信任的机构签发。

浏览器拿到这个证书后,会校验证书的合法性,去检查证书的签发机构是不是受信任的。

那如何去检查签发机构是不是受信任的呢?

答案是继续检查签发机构的证书,看看是谁给他签发的,一直这样追溯,直到找到最终的签发者,看看最终的签发者的证书是不是安装在操作系统的受信任的根证书列表中。

12f67dc80e77b7aba4221ea039537f8f.png

是不是已经晕了?没关系,我们来用百度的那个证书为例,看一下这个过程,你就知道什么意思了。

你可以通过点击证书路径tab页面查看证书的签发链条:

adafcd9b3f6a14140095ab2f632e3736.png

通过这个树形结构图,可以清晰地看到:

baidu.com这个域名使用的证书,是由名为GlobalSign Organization Validation CA - SHA256 - G2的颁发者签发的。

而这个颁发者的证书,又是由GlobalSign Root CA - R1签发的。

浏览器拿到这个最顶层的签发证书后,去操作系统安装的受信任的根证书列表中一找,嘿,还真让它找着了!

e9ef0378e2824e2b7b285f9841005124.png

于是,浏览器信任了这个证书,继续接下来的通信过程。

如果找不到,浏览器就会弹出不受信任的消息,提醒用户要当心了!

4d25d87d12d6661288ce2dad66c7dd48.png

而如果,有人在你的电脑中安装了一个自己的根证书进去,骗过浏览器,这一切安全的根基也就倾覆了。

而文章开头那个小伙伴儿之所以弹出了那个窗口,多半是根证书还没安装进去,就开始了HTTPS劫持。因为重启之后,便再也没有这些提示信息,一切如往常一样风平浪静,只不过上网的流量已经被公司悉数掌握。

看到这里,还不赶紧点开浏览器地址栏的那把锁,看看证书的签发机构是不是你们公司?

如果是,那恭喜你了~

11d186df1b245b48ef1af905de64d456.png

最后,给大家留一个思考题:微信会受到这种HTTPS劫持的影响吗? 欢迎在评论区发表你的看法!

-End-

最近有一些小伙伴,让我帮忙找一些 面试题 资料,于是我翻遍了收藏的 5T 资料后,汇总整理出来,可以说是程序员面试必备!所有资料都整理到网盘了,欢迎下载!

e8a01be290288bfbda32950b9440e87f.png

点击👆卡片,关注后回复【面试题】即可获取

在看点这里6ef0738a1443d9834c3537a2891e0053.gif好文分享给更多人↓↓

程序员大咖
关注
关于HTTPS的几个问题
wh柒八九的博客
07-22 357
本文来说下关于HTTPS的几个问题 文章目录概述 概述
用了 HTTPS没想到还是被监控了!
CSDN云计算
01-07 769
作者 | 轩辕之风来源 | 编程技术宇宙大家好,我是轩辕。上周,微信里有个小伙伴儿给我发来了消息:随后,我让他截了一个完整的图,我一瞅,是HTTPS啊!没用HTTP!再一瞅,是www.ba...
终端防护中心可以监控员工吗?震惊,答案是万万没想到
2401_85960882的博客
07-29 433
中科安企专注于为企业提供网络安全解决方案,其终端防护产品不仅具备强大的防护能力,还注重用户体验和易用性,为企业用户提供了一站式的安全服务。它确实具备监控能力,但这种监控主要是针对设备安全、网络行为以及可能的安全风险,而非直接针对员工的个人行为或隐私进行无差别的监控。作为网络安全领域的老牌企业,它提供了全面的威胁防护和智能的监控分析功能,帮助企业有效应对各种安全挑战。更为细致的是,管理员可以设置敏感词,对用户浏览的内容进行过滤和拦截,降低数据泄露和病毒入侵的风险。二、终端防护中心可以监控员工的哪些行为?
自从用了这些监控工具,我连续几天没睡好觉!
努力做最接地气的编程干货分享,感谢关注
08-01 1439
今天分享一些很实用的系统监控告警工具。
原以为是 Xshell、WindTerm 的平替,没想到是个王者!这款开源跨平台 SSH 客户端太牛逼了...
民工哥的博客
12-29 1225
点击下方名片,设为星标!回复“1024”获取2TB学习资源!大家好,我是民工哥!做为程序员的我们,经常与服务器打交道,不可避免的要通过SSH去登录服务器进行一系列的操作,比如:登录服务器部署应用、调试API、检查代码运行情况等。好工具是提高工作效率的必备神器!民工哥在此之前也介绍过不少的常用工具,以及它的使用与配置,大家可以点击文章上方的Tools专栏查阅。提到SSH工具,大家首先肯定想到的就是X...
Nginx实现html页面注入浏览器监控js代码片段
分享不一样的技术,与你一起共同成长!
01-19 1404
既然是客户端浏览器页面的相关监控,那么肯定是将一些我们写好的监控程序(js脚本)注入到用户的访问页面html中,因为注入例如我们选择注入在标签之间,用户的展示界面是不会有任何问题的,因为这个script标签脚本只会在浏览器后台默默执行,不影响页面展示。1、监控是一种手段,优先级要小于业务的正常运行,所有监控的前提就是不能影响业务的正常运行或者是尽量很少的影响到业务的正常运行。
没想到,我都来阿里5年了!
HollisChuang's Blog
08-12 4895
△Hollis, 一个对Coding有着独特追求的人△这是Hollis的第258篇原创分享作者 l Hollis来源 l Hollis(ID:hollischuang)2020年7月...
Wordpress 网站搭建及性能监控方法详解!
wangpeng198688的专栏
02-22 1622
前言说到 Wordpress,大家往往想到的是博客,其实,如今的 WordPress 已经成为全球使用量最多的开源 CMS 系统。并且,如果你有一定的技术基础稍加改动,就可以搭建出新闻网站、企业网站、电影网站,甚至是商城系统等。据维基百科两年前的统计,已经有超过 2 千万的网站使用了 Wordpress 搭建自己的系统。
Python竟然能监控抖音?这也太刺激了!(1)
2401_84139676的博客
04-30 475
于是我突发奇想,决定用python监控一下某位好友的在线状态,没想到还有意外的收获。本次监控主要用到python的appium库,关于appium的使用和安装,网站有很多教程,但是我一个都没试成功过,于是我一咬牙自己做了一套,教程在文末,不成功过来找我!!!
女友老背着我玩手机,感觉要被绿啊!吓得我赶紧写了个Python监控她的微博!
weixin_52994140的博客
08-28 626
由来 最近下班回到家,女朋友都坐在沙发上玩手机,我习惯的坐她旁边,头枕着她的腿,借此来休息一下。然后发现她边看边笑,于是就问到,你刷到啥了,这么好笑给我看看,她立马就说:没有,就是刷了两下微博。以前她关注的小哥哥的微博还是挺多的。所以后面我就用我的账号去看了一下,没想到我居然被拉黑了,那么我忍不了! 抓到证据了就直接提分手,居然想绿我,我连夜就写了个监控她的微博脚本!24小时监控,就不信抓不到! 工具 今天要用到的工具 Python版本:3.6.4 相关模块: ...
Python竟然能监控抖音?这也太刺激了!
爬遍所有网站
06-04 778
最近发现抖音有一个新功能,可以显示抖音的在线状态,如下图所示: 于是我突发奇想,决定用python监控一下某位好友的在线状态,没想到还有意外的收获。 本次监控主要用到python的appium库,关于appium的使用和安装,网站有很多教程,但是我一个都没试成功过,于是我一咬牙自己做了一套,教程在文末,不成功过来找我!!! 首先用appium客户端打开抖音,配置如下: { "platformName": "Android", "deviceName": "VOG-AL0...
python监控网页_【小白教程】Python3监控网页
weixin_34759094的博客
01-30 4402
之前用RSS来监控网页更新内容,可惜刷新时间太长了,三个小时。。只能看看新闻啥的,又没有小钱钱充会员(摊手听说Python可以做这个功能,抱着试试看的态度,本以为会很麻烦,没想到这么简单哈哈~我从来没有用过Python都做出来了,相信你也没问题!(我真是纯小白,路过的大佬请指教(⊙o⊙)ノ)所用模块#监控模块from urllib import requestfrom bs4 import Bea...
python监控网页更新_【小白教程】Python3监控网页
weixin_39553904的博客
11-27 1846
之前用RSS来监控网页更新内容,可惜刷新时间太长了,三个小时。。只能看看新闻啥的,又没有小钱钱充会员(摊手听说Python可以做这个功能,抱着试试看的态度,本以为会很麻烦,没想到这么简单哈哈~我从来没有用过Python都做出来了,相信你也没问题!(我真是纯小白,路过的大佬请指教(⊙o⊙)ノ)所用模块#监控模块from urllib import requestfrom bs4 import Bea...
4.网络编程
weixin_45476535的博客
09-14 533
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
Java-网络
2301_81543552的博客
09-14 733
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
使用堡垒机登录ftp服务报网络不可达错误
ajax_beijing_java的博客
09-14 234
解决方法:由于不想安装额外的服务在服务器上,于是想到使用sftp服务代替ftp服务,发现是可以使用的。22端口默认就是启动的,在堡垒机上加了sftp服务,再次连接服务器并使用filezila传输文件 ,文件可以正常传输。至此,问题得到解决。场景:开发同事想使用ftp传输服务,连接服务器时报网络不可达错误。排查发现,如果想使用ftp服务,需要在服务器上部署ftp服务,21端口才会存在,才可以访问该服务。
网络工程师学习笔记——网络互连与互联网
2301_77279557的博客
09-14 863
网络互连相关技术
【计算机网络 - 基础问题】每日 3 题(七)
最新发布
Newin2020的博客
09-16 1118
✍个人博客:Pandaconda-CSDN博客📣专栏地址:http://t.csdnimg.cn/fYaBd📚专栏简介:在这个专栏中,我将会分享 C++ 面试中常见的面试题给大家~📝推荐参考地址:https://www.xiaolincoding.com/(这个大佬的专栏非常有用!
浙大中控ECS-700实时监控软件使用详解
"浙大中控ECS-700实时监控软件使用手册" 本文将详细介绍浙大中控ECS-700实时监控软件的使用方法,帮助用户理解和操作这款强大的自动化控制系统。ECS-700是浙江中控技术股份有限公司开发的一款高级过程控制系统,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值