安全使用https

最新推荐文章于 2022-12-11 12:15:18 发布
最新推荐文章于 2022-12-11 12:15:18 发布
阅读量803 收藏
点赞数
分类专栏: 网络编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiongya8888/article/details/83592117
版权

由于http是明文传输协议,数据在传输过程中很容易泄露或者被劫持,所以https越来越普及,但是如果使用不当,依然会有安全隐患。

为什么https依然会被劫持

https劫持其实很常见,抓包工具Fiddler就是这么做的

第一步,fiddler向服务器发送请求进行握手, 获取到服务器证书, 用证书公钥进行解密, 验证服务器数据签名。
第二步,fiddler伪造自己的证书, 冒充服务器证书传递给客户端浏览器,客户端浏览器做跟fiddler一样的事。
第三步,客户端浏览器生成https通信用的对称密钥,用fiddler伪造的证书公钥加密后传递给服务器, 被fiddler截获。
第四步,fiddler将截获的密文用自己伪造证书的私钥解开,获得https通信用的对称密钥。
第五步,fiddler将对称密钥用服务器证书公钥加密传递给服务器, 服务器用私钥解开后建立信任,握手完成, 用对称密钥加密消息, 开始通信。
第六步,fiddler接收到服务器发送的密文, 用对称密钥解开,获得服务器发送的明文。再次加密, 发送给客户端浏览器。
第七步,客户端向服务器发送消息, 用对称密钥加密, 被fidller截获后,解密获得明文。
由于fiddler一直拥有通信用对称密钥, 所以在整个https通信过程中信息对其透明。也就是说fiddler&charles向服务器冒充是客户端,向客户端又谎称自己是服务器

不要信任所有证书

很多时候服务端的证书是自签证书,其根证书在客户端不被信任,这种情况下会导致无法建立https连接,很多人为了一时方便,直接不校验服务端证书,导致的后果就是如果有人使用中间人劫持,客户端毫无察觉,数据依然会泄露或者被劫持。

土豆吞噬者
关注
专栏目录
[C#]用HttpWebRequest加载证书建立SSL通道时发生异常的解决办法
weixin_33753003的博客
04-11 1068
  编写者:郑昀@UltraPower 关键字:HttpWebRequest, ...
Android安全开发之安全使用HTTPS
AliMobileSecurity的博客
10-08 2066
为了保护用户的信息安全、保护自己的商业利益,减少攻击面,我们需要保障通信信道的安全,采用开发方便的HTTPS是比较好的方式,比用私有协议要好,省时省力。
HTTPS安全性更高,为何网络不全面普及它?
丰空岛主(Vega Prime,Android,LabWindows,ThreeJS,Python,OpenCV)
03-25 726
<br />我们不会把自己的用户名和密码写在明信片上然后将它邮寄出去公之于众,但在网上,为什么我们一直都在这样做?在每次登陆使用HTTP连接的服务时,我们基本上都是这么做的。<br />另外还有一种更好的方式,安全性更高的HTTP,即HTTPS。网址中这个多出来的“S”意味着我们的连接是安全的,其他任何人更难看到我们在网上的活动。但既然HTTPS安全,为什么整个网络不来个大一统,全面使用HTTPS呢?<br />HTTPS和网络几乎相伴而生,但主要供那些和钱打交道的网站(银行网站或需要信用卡数据的购物车)
为什么中国Web普遍缺少https安全协议?
xsp0721的专栏
12-17 1110
如果,你是一个经常上外网的人,也许不难发现,在国外的很多网站它们的域名前会出现https和一个绿色锁的ICO,但是国内网站却更多的使用着普通的http,于是,你会产生这样的疑虑为什么国外更加广泛的应用httpshttps又是什么意思?          在互联网快速广泛的发展中,网络安全越来越成了人们关心的重点,早在很多年前网景公司(Netscape)就在推出第一个W
c#: 请求被中止: 未能创建 SSL/TLS 安全通道。
IT老五
06-17 3071
调用第三方的数据上传接口,使用http一切正常,然而使用https报错“请求被中止: 未能创建 SSL/TLS 安全通道。” 然而,使用微信小程序连接该域名其他接口是正常了,说明该服务器是支持https的。因为考虑到之前做小程序开发时让后台升级过tsl到1.2,所以想,这次是不是也是因为tsl版本支持的问题呢? tsl1.2 到myssl.co...
C# 解决“请求被中止: 未能创建 SSL/TLS 安全通道”的问题
a261505的博客
02-08 4583
  最近在开发项目的时候,使用爬虫抓取网络数据的时候,当请求Web数据时,碰到了“请求被中止: 未能创建 SSL/TLS 安全通道”的问题,尝试过很多网上的方法,例如添加证书等都没有用。最后在GitHub上面找到了解决方案,地址:https://github.com/paypal/TLS-update/blob/master/net/TlsCheck特意记录下来,希望对碰到类似的问题的...
局域网内搭建安全HTTPS协议环境,分别给IIS和tomcat使用,并解决SSLHandshakeException异常
最新发布
MeiWenjilu的博客
12-11 3984
在局域网中总有项目需要从http切换到安全https协议。并且要求其他电脑访问服务器的时候也是安全https协议,两个办法,要不花钱买证书,要不学习下这篇文章。提示:以下是本篇文章正文内容,下面案例可供参考。
WebBrowser打开https安全链接,弹出"安全警报"(Security Alert)处理
11-15
使用WebBrowser控件时,在打开https安全链接时,可能会弹出"安全警报"(Security Alert)窗口让用户确认.用户只有点击"是(&Y)"才能正常打开网页.这是多余操作.解决方法:定时监视是否有窗口弹出,如果有,获取窗口句柄,再...
浏览器安全——Web页面安全&浏览器网络安全(HTTPS)&浏览器系统安全
weixin_44915595的博客
12-16 6091
一、Web页面安全 同源和跨域: 同源: 页面中最基础、最核心的安全策略:同源策略(Same-origin policy)。浏览器默认两个相同的源之间是可以相互访问资源和操作 DOM 的。 什么是同源?如果两个页面拥有相同的协议、域名和端口,那么这两个页面具有相同的源。 同源政策:是浏览器提供的一个安全功能。是为了保证用户信息的安全,防止恶意的网站窃取数据。 同源策略主要表现在 DOM、Web 数据和网络这三个层面。 第一个,DOM 层面。同源策略限制了来自不同源的 JavaScript 脚本对当前 DOM
Oauth2.0的安全运行是否必须使用Https协议?官方总结的安全问题有哪些?(附英文文档分析)
goldenlavabao的博客
04-17 3384
Oauth2.0的user-agent不使用Https也很安全的错觉?
在IIS上SSL的部署和启动SSL安全
07-07 315
   在这次的项目中遇见了这个问题,之前我并懂了不了多少,只对了SSL和HTTPS理论了解。但并不知道在实际中如何运行。经过自己在网上查阅一番,最后靠自己解决了这个问题,现在在这里和大家分享一下。如果写的有不对或者是不恰当的,就请大家指正,多交流。 SSL(安全套接子层:Secure Socket Layer): SSL是Secure Socket Layer(安全套接子层):是由网景公司(Netscape)自主研发的用以保障在Internet上敏感数据传输之安全,利用数据加密技术,可确保
web后端http协议使用过程中安全防范及https协议实现原理
匆匆z2的博客
08-02 2115
最近部门在进行对外暴露接口http协议向https协议转换 上大学时,学习过计算机网络,包括https协议,https是在http(HyperText Transfer Protocol)协议的基础上,增加了ssl(Secure Sockets Layer) http协议 http协议在网络上明文传输,容易被他人盗取信息,篡改信息等,在http协议上可以增加一些防护措施及实践中常用的一些技巧...
SSL/TLS安全会话的一个比喻
weixin_34054931的博客
12-28 88
密钥协商的形象化比喻 ...
请求被中止: 未能创建 SSL/TLS 安全通道
欢乐的小树的博客
09-07 4341
在C#窗体程序中运用 WebClient的DownloadString(url)来从其他网址回去数据时遇到了请求被中止: 未能创建 SSL/TLS 安全通道的问题,解决方法如下: 在DownloadString(url)之前运行:System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12; 将安全类型改
SSL/TLS握手原理&加密套件简述
G
02-17 8306
TLS算法组合 在TLS中,5类算法组合在一起,称为一个CipherSuite: 认证算法 加密算法 消息认证码算法 简称MAC 密钥交换算法 密钥衍生算法 比较常见的算法组合是 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 和 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 都是EC...
[C#]使用HttpWebRequest请求远端服务器时如何加载SSL证书
nutian的专栏
10-26 4117
编写者:郑昀@UltraPower http://www.cnblogs.com/zhengyun_ustc/archive/2005/04/11/135820.html首先加上引用“System.Security.DLL”,其次在工程中 using System.Security.Cryptography.X509Certificates; 这样就可以使用“ X509Ce
疑难杂症之请求被中止: 未能创建 SSL/TLS 安全通道。
weixin_30800807的博客
11-25 226
当你在百度各种搜索各种浏览关键字“未能创建 SSL/TLS 安全通道。”以后 如果还不能解决你的问题不妨在请求时加上这一句代码试试 ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls; 有可能出现的状况:重启IIS以后一段时间以内没问题 , 重新发布过dll以后一段时间以内没问题。 如果你不知...
20120407(安全证书问题)
Johnbug
04-08 683
1、换了新电脑之后,直接把wallproxy拷过来用,但却没有导入证书,菜鸟就是菜鸟!后来一直都不能通过https上twitter,发生了SSL错误,才知道应该是没导入证书,然后我就去导入证书啦!可是我没有把证书的导入受信任的证书颁发机构,于是乎还是上不了,后来去再按照原先的教程设置了一次,才搞懂了!这里学到了一些知识点:http和https,SSL错误。还有那个教程的确不错,http://www
[通过HttpWebRequest请求https接口]
HilaryHe
07-27 6739
一.为什么进行代理接口的开发: 有些项目需要访问被墙了哒网站,比如前不久公司开发项目需要使用google地图的接口,而google在中国被墙了,所有打算做一个代理接口服务,将代理放到国外服务器上,通过访问该代理,在代理上请求google地图的接口,实现访问。然而访问的接口通信是采用的https通信,存在证书验证,使用httprequest请求时候需要带上证书进行验证,才能建立正确的链接。(在前一
使用HttpClient进行HTTPS安全访问指南
"使用httpclient进行https访问涉及到网络安全和证书管理。" 在Java开发中,当需要通过HTTP客户端(httpclient)进行HTTPS安全超文本传输协议)访问时,需要处理SSL(Secure Socket Layer)和TLS(Transport Layer...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值