2019独角兽企业重金招聘Python工程师标准>>>

昨天公司给我们进行了高级的安全培训,对一些技术细节理解的更加透彻了。

对Https的运行原理更加了解了,Https是保护Client端的利益的,当然也保护传输的安全;Https是非对称加密+对称加密结合起来用的,因为非对称加密的运算很耗CPU,所以一直用会导致通讯效率极低。

1、Https为什么安全?

1.1、Https安全是相对Http不安全而言的,Http是明文传输的,别人只要监听数据包就能看到里面的内容,比如银行卡密码。举个例子就是,A给B寄信,用Http协议的话,邮递员就可以打开信里面的内容,甚至给信改了,B都不知道。但是用Https协议的话,就相当于把信加密了,邮递员再打开时也看不懂写的是啥,好像老中医开的处方一样。

2、Https技术原理简介

2.1、 Client向服务器发送一个Hello,服务器端回一个Hello

2.2、服务器将证书发给Client,证书中包含公钥,这里命名成公钥2。

2.3、Client拿到此证书后,去操作系统本地验证此证书是否合法有效的,如果无效,浏览器上会提示用户是否继续。如果有效,利用公钥2生成【会话密钥】,服务端根据私钥解密【会话密钥】。

2.4、Client发送业务数据,用会话密钥加密,这样即使被捕获,也是看不懂的。

示意图如下:

3、关于CA证书

3.1、服务器需要提前准备好一对公私钥,可以用sshkeygen生成,将这对公私钥给CA,他就会生成证书给你用了。

4、加HSTS

利用浏览器的特性,强制客户端采用HTTPS,避免了首次用户用http访问网站被ISP域名劫持加广告。

注意:

1、用Https,别人一样可以对你进行抓包的,只是看不懂罢了。

2、但是如果是在客户端本地,可以提前导入服务器的证书,这样一切的【会话密钥】都是知晓的,所以可以解密里面的内容。利用这一点,就可以修改订单金额之类的进行欺骗。从这个角度上而言,可以理解Https不是万能的,千万不要以为用了Https就鸡毛当令箭了。

3、ISP劫持http网站易如反掌,因为它能拿到response的值,在html里面嵌入一段脚本非常容易,用https它就劫持不了了。但是像淘宝、百度这些网站为了保持用户体验,用户首次输入http://taobao时,也会被ISP劫持。

参考链接

转载于:https://my.oschina.net/windows20/blog/881227

安全培训总结-Https相关推荐

  1. 全国大学生智能车竞赛相关培训汇总

    §01 单片机培训 一.Infineon单片机 1.2020年4月培训 培训时间: 4月15日14:00~17:00 4月16日14:00~17:15 训回放链接: ① 英飞凌汽车电子生态圈: htt ...

  2. aspen共沸精馏如何模拟_9月1011号Aspen plus:精馏精品培训!线上线下同时开展!另有惊喜活动等你参与!...

    9月10-11号Aspen plus:精馏精品培训班 随着Aspen 学习的深入,为了满足实际工作的要求,复杂精馏的模拟是否是你设计中的拦路虎呢?一个有亮点的工艺80%的突出点都是在精馏上! 共沸精馏 ...

  3. de1-soc培训教材记录

    第一章 准备 1.1 安装软件 <Altera De1-SoC培训教材>中的环境 quartus 13.1 embedded command shell 13.1 我所用的linux是de ...

  4. 中软培训 day07

    中软培训 day07 https://jingyan.baidu.com/article/a3a3f811cd5f0b8da2eb8abf.html 可以参考这个网站 一.配置maven环境 1.下载 ...

  5. 培训平台python2021高级研修班来啦

    Python及衍生的一系列数据处理分析软件包已经在天文领域获得广泛使用,在天文数据处理和分析.数据管理.天文数据绘图.高性能计算.机器学习和深度学习.望远镜管理等诸多领域,都有广泛的使用和不俗的性能. ...

  6. 国家培训python

    (第一期) Python及衍生的一系列数据处理分析软件包已经在天文领域获得广泛使用,在天文数据处理和分析.数据管理.天文数据绘图.高性能计算.机器学习和深度学习.望远镜管理等诸多领域,都有广泛的使用和 ...

  7. 又要头秃?2020年七大AI编程语言大盘点

    作者 | Claire D 译者 | 苏本如,编辑 | 伍杏玲 来源 | CSDN(ID:CSDNnews) 人工智能已成为我们日常生活不可或缺的一部分,它被广泛地应用到几百种实际场景中,极大地便利人 ...

  8. 微生物组入门必读+宏基因组实操课程=新老司机赶快上车

    声明:本文转载自宏基因组公众号,原作者朱微金,己获作者授权. 写在前面 作为纯wet遗传学博士,转行微生物组领域已经有两年.目睹微生物组文章中分析所占比重之大,让我痛下决心苦学dry技能.目前感觉对宏 ...

  9. YOLO_ Real-Time Object Detection 实时目标检测

    YOLO: Real-Time Object Detection 实时目标检测 You only look once(YOLO)是一种先进的实时目标检测系统.在Pascal Titan X上,它以每秒 ...

最新文章

  1. php如何生成html,php生成html文件方法总结
  2. javafx FlowPane布局
  3. ssh、私钥、密钥理解
  4. scrollwidth ,clientwidth ,offsetwidth 三者的区别
  5. 基础的python程序_Python程序入门
  6. 操作系统短作业优先(SJF)调度算法
  7. 惠普暗影精灵3清灰_如何评价惠普笔记本这几年的表现?尤其是暗影精灵系列。...
  8. Linux四种共享内存技术(附源码):SystemV、POSIX mmap、memfd_create、dma-buf
  9. java split 坑
  10. 三分钟了解Activity工作流
  11. MATLAB adf检验和kpss检验结果说明
  12. 级数_2:常数项级数的审敛法
  13. 赛马c语言编程,C/C++编程题之渊子赛马
  14. 斜面怎么计算机械效率,斜面的机械效率
  15. openpyxl 单元格合并
  16. 实验吧-密码学-Fair-Play(Playfair解密)
  17. 5G私有云平台-MEC(移动边缘计算)
  18. java 正则表达式不包含某个字符
  19. Git中对大仓库的处理实践
  20. 宝塔 搭建 nginx rtmp 流媒体服务器

热门文章

  1. 2018年最新税收分类编码_我们正在建立有关新编码员的庞大开放数据集。 2018年新编码器调查现已上线。...
  2. vison引擎中效果图形 - 体积锥体介绍
  3. kylin(麒麟)系统高分率字体小解决方案
  4. 新版FMEA软件之基础FMEA、家族FMEA及项目FMEA FMEA之福特汽车客户特殊要求CSR
  5. 【研究生】论文该不该强制开放源代码?那个曾经硬刚LeCun的女学者这样说
  6. Matlab凸轮设计
  7. 2022 iapp 云便签源码
  8. 中国大陆22所高校上榜!2022QS毕业生就业竞争力排名发布;​2022中国企业薪资增长率预计为5.3% | 美通社头条...
  9. SQL删除重复记录保留最大值
  10. 机械故障诊断学的学习