《图解HTTP》(四)更安全的HTTPS、用户认证
目录
更安全的HTTPS
HTTP的缺点:
最常用的抓包工具:wireshark
通信加密的方式
对HTTP采取安全处理的手段
HTTPS采用混合加密机制
HTTPS安全通信机制
为什么不一直使用HTTPS?
SSL速度变慢
HTTP用户认证
前面一篇讨论了攻击HTTP的常用手段:https://blog.csdn.net/qq_41895747/article/details/104296991,从而引出
更安全的HTTPS
简单的说:HTTPS = HTTP+SSL
详细点:HTTPS = HTTP+加密+认证+完整性保护
HTTPS并非应用层协议,只是HTTP通信接口部分用SSL和TLS协议代替
HTTP的缺点:
- 通信使用明文,内容可能会被窃听
- 不验证通信方的身份,可能遭遇伪装
- 无法证明报文的完整性,可能遭到篡改
最常用的抓包工具:wireshark
Wireshark是世界上最广泛使用的网络协议分析器。它使您可以从微观角度查看网络中发生的事情,并且是许多商业和非营利企业,政府机构和教育机构的事实上(通常是法律上)的标准。由于全球网络专家的自愿贡献,Wireshark得以蓬勃发展,并且是Gerald Combs在1998年启动的项目的延续。
Wireshark具有丰富的功能集,其中包括:
- 深入检查数百种协议,一直在增加
- 实时捕获和离线分析
- 标准三窗格数据包浏览器
- 多平台:在Windows,Linux,macOS,Solaris,FreeBSD,NetBSD和许多其他操作系统上运行
- 捕获的网络数据可以通过GUI或TTY模式的TShark实用程序进行浏览
- 业界最强大的显示过滤器
- 丰富的VoIP分析
- 读取/写入许多不同的捕获文件格式:tcpdump(libpcap),Pcap NG,Catapult DCT2000,Cisco Secure IDS iplog,Microsoft Network Monitor,Network GeneralSniffer®(压缩和未压缩),Sniffer®Pro和NetXray®,Network Instruments Observer ,NetScreen监听,Novell LANalyzer,RADCOM WAN / LAN分析仪,Shomiti / Finisar Surveyor,Tektronix K12xx,Visual Networks Visual UpTime,WildPackets EtherPeek / TokenPeek / AiroPeek等
- 使用gzip压缩的捕获文件可以即时解压缩
- 可以从以太网,IEEE 802.11,PPP / HDLC,ATM,蓝牙,USB,令牌环,帧中继,FDDI等读取实时数据(取决于您的平台)
- 对许多协议的解密支持,包括IPsec,ISAKMP,Kerberos,SNMPv3,SSL / TLS,WEP和WPA / WPA2
- 可以将着色规则应用于数据包列表,以进行快速,直观的分析
- 输出可以导出为XML,PostScript®,CSV或纯文本
在HTTP下传输过程中没有任何加密措施,可以轻易进行抓包获取请求和响应:
通信加密的方式
- SSL:Secure Socket Layer 安全嵌套层
SSL是全世界最广泛应用的网络安全技术 - TLS:Transport Layer Security 安全套接层
对HTTP采取安全处理的手段
- SSL和TLS对通信进行加密
- 对内容进行加密
- 查验对手的证书
- 采用PGP(完美隐私)创建数字签名及MD5算法涩会给你成散列值防止篡改
HTTPS采用混合加密机制
共享密钥加密+公开密钥加密的混合加密机制;
HTTPS安全通信机制
一图明了
为什么不一直使用HTTPS?
阿里云考试一道题;
简单的说,因为HTTPS会消耗更多资源;购买证书会造成额外开支;
SSL速度变慢
可以使用SSL硬件加速器改善
- 通信速度慢
- 大量消耗CPU内存资源,导致处理速度变慢
HTTP用户认证
- BASIC认证(基本认证)
服务器与客户端之间的认证方式;
明文,无加密与注销; - DIGEST认证(摘要认证)
质询/响应方式;
安全性高于BASIC认证; - SSL客户端认证
借由HTTPS客户端证书进行认证;
服务器可确认访问能否来自己登录客户端;
双因素认证:基于证书认证+基于表单认证/基于客户端计算机+基于用户本人行为 - FromBase认证(基于表单认证)
使用最广泛;
客户端向服务器上Web应用程序发送登录信息,按登录信息进行结果认证;
《图解HTTP》(四)更安全的HTTPS、用户认证相关推荐
- Https CA认证图解
Https CA认证图解 http通信存在的问题 容易被监听 http通信都是明文,数据在客户端与服务器通信过程中,任何一点都可 能被劫持.比如,发送了银行卡号和密码,hacker劫取到数据,就能看到 ...
- 4月27日云栖精选夜读丨阿里CMO董本洪:你要运营流量,更要运营超级用户
2019独角兽企业重金招聘Python工程师标准>>> 昨日,阿里巴巴集团CMO.阿里妈妈总裁董本洪来了一场"无忌之谈",他强调说:"你要运营流量,更要 ...
- 万豪旅享家官方商城携手神策数据,数字化礼遇更高质量的用户体验
数字化转型已经成为酒店在后互联网时代生存的基本条件. 对于酒店来说,用户需求的不断变化,对企业数字化转型提出了新的课题和挑战.作为世界知名酒店集团,万豪酒店明确认识到抓住数字化未来的重要性,秉承旅行使 ...
- 【24小时内第四更】为什么我们要坚持写博客?
前言 从2018年7月份,我开始了写作博客之路.开始之前,我打算分享下之前的经历.去年初公司来了个架构师,内部分享过docker原理,TDD单元测试驱动,并发并行异步编程等内容,让我着实惊呆了,因为确 ...
- 从崩溃的选课系统,论为什么更安全的 HTTPS 协议没有被全面采用
前言 HTTP 具有非常优秀和方便的一面,然而,HTTP 并非一个安全的协议.大家平常浏览网页的时候应该也能注意到,使用 HTTP 协议的网站,浏览器都会认定这是一个不安全的网站,提醒用户注意防范(即 ...
- 更安全的https https的问题
视频推荐:https的性能优化 推荐文章:腾讯https性能优化实践 更安全的https(内容加密.身份认证.数据完整性) https实际上就是在http和tcp之间添加了ssl层或者是TLs层,这两 ...
- 超详细的用户认证、权限、安全原理详解(认证、权限、JWT、RFC 7235、HTTPS、HSTS、PC端、服务端、移动端、第三方认证等等)
用户认证.权限.安全 原 理 与 实 践 作者: jcLee95 邮箱 :291148484@163.com CSDN 主页:https://blog.csdn.net/qq_28550263?spm ...
- 苹果正在训练Siri 未来或将更好理解口吃用户
2月26日消息,据国外媒体报道,苹果正在研究如何改进Siri,以便更好满足口吃用户的需求. 报道称,苹果已建成一个由口吃用户提供的 2.8 万个音频片段组成的数据库.苹果发言人表示,这个数据库将用来训 ...
- Juniper防火墙之图解用户认证
今天正好学习到Juniper防火墙中的用户认证,那么今天就带大家来看看Juniper防火墙的用户认证. Juniper防火墙的用户分类: 1.Admin User:管理员用户 2.Auth User: ...
最新文章
- Ctrl + z 和 Linux jobs
- java 注解生成实例_Java 8 开发的 Mybatis 注解代码生成工具
- .net core 中使用httpclient,HttpClientFactory的问题
- CodeForces - 1168B Good Triple(思维+暴力)
- windows下手动配置ipv6地址
- mysql维表的代理键字段_mysql多维数据仓库指南--第三篇第12章(2)
- iptables控制较复杂案例
- Python实现恋爱AA公式
- 趣文:如果像招聘程序员那样招聘木匠
- 2022-01-09总结
- js浮点数加减乘除精度不准确
- 2015 NI 校招笔试机试面试
- 启动 Tomcat 日志乱码问题
- maven-maven使用-P参数打包不同环境
- 微信小程序登录流程理解
- windows mingw 64,SDL ,devil,glfw,opengl,qt环境搭建
- sscanf 实现_医保 | 好消息!门诊慢病实现山东省内联网结算啦~
- 如何获取有价值的用户反馈?
- 【干货#008】30分钟实战知晓云内容发布小程序
- 人工智能知识体系大全