六. HTTPS确保Web安全

最新推荐文章于 2023-11-28 14:29:36 发布
最新推荐文章于 2023-11-28 14:29:36 发布
阅读量324 收藏
点赞数
分类专栏: 图解HTTP读书笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50260670/article/details/119054700
版权
六. HTTPS确保Web安全

1. HTTP的缺点

  1. 通信使用明文,内容可能会被盗取;
    互连网中使用TCP/IP协议族进行通信的过程中会经过非常多的通信载体(网关、路由器等),而这些主机并不可能完全是私人的,所以可能某个环节遭到恶意窥视(抓包)。当然密文也会,只是不会被破解。
    在这里插入图片描述
    可以通过加密的方式来规避这个问题:
    1)通信加密
    使用HTTP和SSL(安全套接层)组合建立安全通信线路,这被称为HTTPS;
    在这里插入图片描述
    2)内容的加密
    将HTTP报文里的内容进行加密:
    在这里插入图片描述
  2. 不验证通信方的身份,可能会遭遇伪装;
    使用HTTP通信时,任何人都能发起请求,在服务器没有设定访问限制的前提下,不管对方是谁都会响应;
    SSL也提供了被称为证书的手段,来确认对方身份;证书由可信任的第三方颁布,只要确认通信方的证书就能判断对方的真实意图;而伪造证书是异常艰难的事情。
    在这里插入图片描述
  3. 无法证明报文的准确度,可能会遭到篡改。
    在这里插入图片描述
    像这样,请求或响应在传输途中被篡改的攻击称为中间人攻击。避免此问题最常用的是MD5和SHA-1等散列值校验的方法,以及数字签名。

2. HTTP + 加密 + 认证 + 完整性保护 = HTTPS
在这里插入图片描述
HTTPS其实是身披SSL协议外壳的HTTP,采用SSL之后HTTP就拥有了加密、证书、完整性保护这些功能。
在这里插入图片描述
SSL是一个独立的协议,可以与在应用层的SMTP、Telnet等协议配合使用,它是当今应用最广泛的网络安全技术。

1)HTTPS使用混合加密机制

混合加密即是共享密匙加密和公开密匙加密共用:
在这里插入图片描述
如果不知道共享密匙加密和公开密匙加密是什么,可以看我的另一篇文章,附上链接:https://editor.csdn.net/md/?articleId=118246295

2)证明公开密匙正确性的证书

有一个问题,怎么证明我得到的公开密匙是货真价实的?
在这里插入图片描述
3)EV SSL证书可证明组织真实性

EV SSL证书可以证明对方服务器背后运行的企业是否真实存在,持有此证书的Web网站的浏览器的地址栏处是绿色的。

4)SSL客户端认证

某些Web页面只想让特定的人访问或仅自己可见,这就需要核对“登陆者才会知道的信息”或者”登录者才会有的信息“,这就是客户端认证。

SSL客户端认证需要事先将客户端证书发给客户端,且客户端必须安装此证书。
在这里插入图片描述
首先客户端发出请求,服务器会要求客户端提供证书;客户端将证书信息发给服务器,服务器验证通过后会从证书中拿到客户端的公开密匙,并开始HTTPS加密通信。

SSL客户端认证一般不会仅依靠证书来完成,而是与表单认证组合完成,称为双因素认证。客户端证书用来认证客户端计算机,密码(表单认证)用来确定是用户本人的行为。

5)表单认证

将客户端发送过来的用户ID和密码与之前登陆过的信息匹配来进行验证;但HTTP是无状态的,所以使用Cookie来管理Session会话。
在这里插入图片描述
问题:服务器端如何保存用户提交的密码等登录信息?

通常,一种安全的方式是先利用给密码加”盐“的方式增加额外信息,再使用散列函数计算出散列值后保存(MD5)。比如:

每次保存密码到数据库时,都生成一个随机16位数字,将这16位数字和密码相加再求MD5摘要,然后在摘要中再将这16位数字按规则掺入形成一个48位的字符串。在验证密码时再从48位字符串中按规则提取16位数字,和用户输入的密码相加再MD5。

3. 说明

本文为《图解HTTP》读书笔记,如有错误,还请兄弟们指正,大家一起进步。

杨金牛的技术笔记
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Web应用安全:常见的Web应用威胁.pptx
06-19
常见的Web应用威胁 网页篡改 SQL注入 跨站脚本 网页挂马 ...动态产生页面的网络服务器应用如果不能确认用户输入并确保产生的页面都正确编码了,他们会易受跨站脚本攻击。能造成跨站脚本的攻击有时候
工商银行网站无法访问的解决办法。(网络上面收集来的,看看)
weixin_34144450的博客
01-04 1042
E设置也会造成工商银行网站无法访问。单击IE-工具-internet选项-安全-受信任的站点-站点, 将[url]https://mybank.icbc.com.cn[/url] [url]https://www.icbc.com.cn[/url] 这两个网址 添加到区域中 . 然后将 *对该区域中的所有站点都要求服务器验证(https:)*前面的小方框选上.看可以访问吗? ...
[6]https为什么安全
我们一起学前端
11-05 1153
我们类比我们的四级证书,其实就是一张纸,这张纸我们随便也能仿造一张,但是这个真伪是很好识别,我们直接用证书编号到四级官网一查就知道,如果里面的信息和这张纸上的信息一致,则说明这张证书是真实的。每份签发证书都可以根据验证链查找到对应的根证书,操作系统、浏览器会在本地存储权威机构的根证书,利用本地根证书可以对对应机构签发证书完成来源验证;通过上面的说明,我们知道了抓包工具怎么抓包的,但是为什么浏览器需要提前下载抓包工具的根证书呢?看下面的截图,是不是就是抓包工具的根证书,用来校验证书来源的合法性的。
什么是httpshttps为什么安全
tyxjolin的专栏
04-04 1164
HTTPS 协议是保护互联网通信安全的重要协议,其能够提供数据加密、身份认证、完整性保护和消息认证等功能。尽管 HTTPS 协议存在一些缺点和攻击方式,但是我们可以通过使用最新的 SSL/TLS 协议版本、定期更换数字证书、使用强密码、安装防病毒软件、注意网站的安全性等方法来保护 HTTPS安全性。随着互联网的不断发展,HTTPS 协议将会变得越来越重要。我们需要不断更新我们的知识和技能,以便能够更好地保护我们的个人信息和隐私。
HTTPS安全问题及应对方案
最新发布
sdgfafg_25的博客
11-28 823
HTTPS是一种在网络通信中广泛使用的安全协议,通过使用SSL/TLS加密来保护数据的传输。然而,即使在使用了HTTPS的情况下,仍然存在一些潜在的安全问题。本文将深入探讨HTTPS安全问题,并提供一些有效的应对策略,以确保数据在传输过程中的安全性。
https是如何保证安全
蓝易云
04-28 459
总之,HTTPS 通过加密、身份验证、数据完整性和抗否认性等多重保障,确保网络通信的安全性,是现代网络通信中不可或缺的一环。1. 数据加密:HTTPS 使用 SSL/TLS 协议对通信数据进行加密,保护数据的隐私性,防止数据被窃取或篡改。5. 服务器使用自己的私钥对客户端发送过来的加密密钥进行解密,得到密钥,然后与客户端建立起加密通道。4. 客户端生成一个随机的加密密钥,并使用服务器的公钥对密钥进行加密,然后发送给服务器。6. 客户端和服务器之间的通信数据将通过该加密通道进行加密和解密,保证数据的安全性。
Web应用安全安全隐患产生的原因.pptx
06-18
进入21世纪以来,信息安全的重点放在了保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。信息的保密性、完整性、可用性 、...
确保网络安全》PPT课件.ppt
04-12
确保网络安全》PPT课件.ppt
计算机网络安全技术:使用web应用防火墙保护网站.pdf
05-12
Web 应用防火墙是通过执行一系列针对HTTP/HTTPS安全策略来 专门为Web 应用提供保护的一款产品。对于Web 应用系统的漏洞,可以使 用WAF ,进行安全防护。 WAF 工作在web 服务器之前,对基于HTTP 协议的通信进行...
CSS Web安全字体组合详解
01-19
font-family属性是多种字体的名称,作为一个应变制度,以确保浏览器/操作系统之间的最大兼容性。如果浏览器不支持的第一个字体,它尝试下一个的字体。 你想要的字体类型如果浏览器找不到,它会从通用的字体类型中...
HTTP与HTTPS的基本概念及其区别
Alexlee1986的专栏
07-14 863
      HTTP协议被广泛应用于Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。  为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全超文本传输协议HTTPS。为了数据传输的安全,HTT...
深入理解HTTPS及其安全性问题
dong123ohyes的专栏
01-06 3266
目录 一、HTTP 为什么不安全 1.窃听风险 2.篡改风险 3.冒充风险 二、安全通信的四大原则 三、HTTPS 通信原理简述 1.对称加密:HTTPS 的最终加密形式 2.非对称加密:解决单向对称密钥传输问题 3.数字证书,解决公钥传输信任问题 问题一:如何验证证书的真实性,如何防止证书被篡改 问题二:如何防止证书被调包 四、其他 HTTPS 相关问题 1.什么是双向认证 2.什么是证书信任链 总结 用20张图彻底征服HTTPS! 近年来各大公司对信息安全传输越来.
Deplhi6 连接访问https
sg24K的博客
11-07 1217
今天有个客户要求连接https去获取数据,而我的系统是delphi6开发的,选择空间tidhttp进行了一波尝试,发现delphi6的tidhttp控件只支持http而不支持https,几经探索才成功完成任务,记录如下: 选择secureblackbox控件,控件在我的其他博客可以免费下载,待会儿上传,下载后请把pakages里面所有delphi6对应的控件全部安装(打开的delphi6,打开ob...
HTTP和HTTPS协议,看一篇就够了
热门推荐
不一样的博客
08-03 126万+
一、前言: 我们上网很简单,只需要通过网络服务商开通端口就可以了,每天都在上网,有留意到访问网站链接有什么共同点吗?为什么需要但是为什么要讲HTTP和HTTPS呢? 二、HTTP和HTTPS发展历史 当我们打开谷歌浏览器输入www.12306.cn,回车很快在浏览器上就看到页面,其中的浏览器就是客户端,负责接受浏览器的是服务器,两者的通信是通过HTTP协议。 什么是HTTP? ...
使用免费ssl证书在iis6 https的配置方法!
开源世界
03-04 843
windows2008 https搭建方法参考:iis7怎么搭建https?iis配合ssl证书搭建https站点教程 首先第一步我们还是需要先申请证书,可用收费或免费,铁网维使用的是景安的免费ssl证书 在iis当中搭建https站点过程还是相当的简单的,下面铁网维一一讲述其搭建过程 一、打开需要配置https站点的属性->目录安全性->服务器证书 二、选择从.pfx文件导入证书,下一步 三、选择浏览证书所在路径,例如:D:1004023073iiswww.tieww.com.pfx 下一
网络编程https请求(双向验证)
oyy的博客
12-23 683
HTTPS请求 双向验证
确保 Web 安全HTTPS
关启培的博客
06-04 219
在 HTTP 协议中有可能存在信息窃听或身份伪装等安全问题。使用 HTTPS 通信机制可以有效地防止这些问题。 先谈谈http的缺点: 通信使用明文,不进行加密,内容可能被窃听 不验证通信方身份,因此可能遭遇伪装 无法证明报文,可能会被篡改 TCP/IP 是可能被窃听的网络 如果要问为什么通信时不加密是一个缺点,这是因为,按 TCP/IP 协议族的工作机制,通信内容在...
无法访问此页面,确保web地址正确?
冰糖糯米藕
02-22 2万+
 
kingdee.bos.webapi.client.dll下载
08-02
kingdee.bos.webapi.client.dll是金蝶软件的一种动态链接库文件,用于开发金蝶云平台的应用程序。用户可以通过下载这个dll文件来使用金蝶云平台的相关功能。 要下载kingdee.bos.webapi.client.dll文件,可以按照以下步骤进行操作: 1. 打开金蝶软件的官方网站或者开发者社区的网站。 2. 在网站的搜索框中输入“kingdee.bos.webapi.client.dll”来找到相关的下载链接。 3. 点击下载链接进行下载。根据网站安排,可能需要登录账户或者完成一些其他的操作才能继续下载。 4. 确认下载目录并等待文件下载完成。 下载完成后,用户可以将kingdee.bos.webapi.client.dll文件复制到自己的项目目录中,然后在代码中引用这个dll文件,以便使用金蝶云平台的相关功能。 需要注意的是,下载和使用kingdee.bos.webapi.client.dll文件需要遵循金蝶软件的使用协议和相关规定,确保合法性和安全性。在下载和使用过程中,建议参考官方文档或者咨询金蝶软件的技术支持人员,以确保正确和有效地使用这个dll文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值