本地加密传输
介绍
http
- 超文本传输协议(HTTP)被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密。
- 因此HTTP协议不适合传输一些敏感信息,比如:密码登录支付交易、敏感信息查询等环节。
https
- Https协议是以通信安全为目标而创建的通信协议,即在HTTP协议下加入SsL(SecureSocketsLayer)安全套接层协议。
- 简单来说,Https协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,它要比HTTP协议安全。
https通信步骤
- 客户使用https的URL访问web服务器,要求与Web服务器建立SSL连接。
- Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端
- 客户端的浏览器与web服务器开始协商SSL连接的安全等级,也就是信息加密的等级
- 客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
- web服务器利用自己的私钥解密出会话密钥。
- Web服务器利用会话密钥加密与客户端之间的通信
不安全传输描述
- 当系统对敏感交互操作业务未配置 Https协议,会导致攻击者可截取用户Web浏览器与网站服务器之间的HTTP传输报文,攻击者可以直接读取其中的敏感信息。
漏洞危害
- 系统用户登录明文传输
- 敏感信息明文查询
- 支付交易明文传输
流程图
防御方案
- 为存在敏感数据交互业务的应用服务器部署有效的SSL证书服务。
摘抄
为别人活着,也要为自己活着。
希望和悲伤,都是一缕光。
总有一天,我们会再相遇。
– 《云边有个小卖部》