如何屏蔽dns协议和阿里云httpdns 防劫持/阿里云httpdns 防劫持s协议 知乎
点击联系发帖人
时间:2017-07-31 04:13
62被浏览9400分享邀请回答/5748697/how-to-keep-your-facebook-secure-by-enabling-https2. Twitter:一些浏览器扩展也可以帮你自动完成以上的工作:1. Firefox:2. Chrome: 5添加评论分享收藏感谢收起51被浏览18454分享邀请回答,出来的是百度的页面。HTTP劫持的现象:你打开的是知乎的页面,右下角弹出唐老师的不孕不育广告。514 条评论分享收藏感谢收起12添加评论分享收藏感谢收起查看更多回答下面用我的亲身经历来说说如何打击运营商在网页中恶意植入广告的这种流氓行为。&/p&&p&
我是北京联通用户,就在前些天(),一次在网上查资料的时候,我打开了一个百度知道的页面,一个巨幅广告映入眼帘,登时吓尿我了,如下左图&/p&&img src=&/7f13cfb295fbccb_b.png& class=&content_image&&&br&&p&
当时我第一反应是好奇地点开广告,看看到底是什么情况(我甚至有开通的冲动= =),直到确认开通的前一步,它居然都不要求服务密码、手机验证码、也不需要输个人信息什么的——单纯点击就能开通,我就意识到这不是一般的网页广告。既然不要求验证码之类的东西,这说明:&/p&&p&1.
肯定能确认我的身份&/p&&p&2.
不太可能是第三方的诈骗广告&/p&&p&之后使用隐身模式访问相同网页,还是有这个广告,说明不是基于cookies的广告。&/p&&p&我就想这可能是运营商在进行&a href=&///?target=http%3A///p/eff& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&流量劫持&i class=&icon-external&&&/i&&/a&。&/p&&p&
于是就打开了移动版Chrome自带的&a href=&///?target=http%3A///archives/4185.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&流量节省功能&i class=&icon-external&&&/i&&/a&,然后打开相同网页,发现原来的“巨幅”广告消失了:如上右图。使用全局VPN访问该网页亦是如此。&/p&&p&
一般流量劫持是不能对使用&a href=&///?target=http%3A///view/14121.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&https&i class=&icon-external&&&/i&&/a&或者其他加密手段的网页浏览起作用的(比如通过VPN访问),除非是&a href=&///?target=http%3A///view/1531871.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&中间人攻击&i class=&icon-external&&&/i&&/a&,这个情况还是比较罕见的,尤其是对手机来说(因为不能随意安装证书嘛)。&/p&&p&然后我想肯定不是只对百度知道插入广告,于是在关闭Chrome流量节省功能和VPN测试了其它网页,发现启用https的网站都没有广告,而部分其它明文网页——海淘、有道词典——也发现了相同广告。如图&/p&&img src=&/2feeba60fc7ad7d2a3750_b.png& class=&content_image&&&br&&p&&i&
插两句题外话...https是多么重要,机智的度娘今年年初强制重定向至https页面,不过貌似度娘对https网页的检索有一些困难,又由于成本问题,国内许多知名网站都没用https,但是某最大邮箱还在用http的行为确实有点吓人&/i&&/p&&p&
BTW,这样一来情况就明了了,就是中国联通在搞流量劫持,WTF!以前用电信宽带时电脑打开网页就经常出现这类广告,没想到现在开始对移动数据也用这一套。&/p&&p&附上对这个广告的内容的详细截图&/p&&img src=&/130d94ade8b0_b.png& class=&content_image&&&br&&p&于是我上网搜索这类问题的处理办法,找到了:&/p&&p&1.
&a href=&///?target=https%3A///t/197767& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&投诉联通在手机网页插广告,意外获赔 30 元话费&i class=&icon-external&&&/i&&/a&&/p&&p&2.
&a href=&///?target=http%3A///group/topic//& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&教你怎样投诉中国移动、中国联通、中国电信&i class=&icon-external&&&/i&&/a&&/p&&p&然后开始了投诉之路...以下是对过程的简要描述,有删节&/p&&p&================================================================&/p&&p&
首先我打10010向人工客服投诉,对方说向上级反映然后就啪一下挂我电话了,态度很渣,当时我是很不爽的。然后过了半天才来一个电话,问了我两句,我又重复了一遍中午说过的,然后对面又啪一下挂了。(联通的客服也真是够叼,怪不得用9号键的智能人工客服取代了0号键的人工服务)&/p&&p&
第二天回我电话,内容主要为:&/p&&p&1.
中国联通不知道广告是怎么回事,无法处理我&/p&&p&2.
建议我检查一下我的手机,或者向手机售后请求帮助&/p&&p&总结一下就是——“老子不想鸟你!”&/p&&p&
于是我挂了电话,默默地打开了&a href=&///?target=http%3A//www.%3A8080/cms/shensus/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&工信部申诉的页面&i class=&icon-external&&&/i&&/a&(经此一役,我深深的感受到工信部的强大,专治流氓,T^T,感动ing),填好表之后,另用一封邮件将我的手机截图发到了受理申诉的邮箱accept@。我的申诉内容也顺便粘贴到了邮件里,邮件内容如图:&/p&&img src=&/93b9e5c4db9a58ba144a4086eda07af6_b.png& class=&content_image&&&br&&p&
过了不久联通就给我回电话了,号码不是10010而是010 (据我调查了解这是联通专门处理工信部投诉的),跟我确认了一遍具体情况之后就挂电话了。&/p&&p&然后10010又来电话和我谈判,主要内容是:&/p&&p&
这回他们终于肯认账了,承认这就是他们恶意植入的广告(当然他们用了更委婉的措辞),我提出两个条件:&/p&&p&1.
赔偿我300元话费(开始是要中国联通的书面道歉信的,其实我清楚是要不到的,纯粹恶心他们一下)&/p&&p&2.
立即停止这种向用户浏览的网页中插入广告的行为&/p&&p&
对方死活不同意第二条,反复声明:&/p&&p&1.
已经停止向我发广告,并以加入屏蔽名单&/p&&p&2.
他们不能决定这项业务是否关闭&/p&&p&
我坚持不妥协&/p&&p&
后来中国联通方面再次回我电话,这次是一个自称是项目经理的人,&i&&b&最后和我达成口头协议:不会关闭这项(流氓)业务,但会在用户知情并同意之后再对用户进行“沃助手”业务(流量劫持)。通话最后我警告“我不想在今后从亲友或同学那里听说他们收到此类广告”&/b&&/i&&/p&&p&当天下午我收到300元话费。&/p&&p&至此,时长五天的申诉就结束了。&/p&&p&================================================================&/p&&p&
后来过几天我想了想,我还是太年轻了,不应该那么轻易就妥协的,因为我查到了这个:&/p&&p&&a href=&///?target=http%3A///news/9511.shtml& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&流量劫持首次被认定为犯罪&i class=&icon-external&&&/i&&/a&&/p&&p&
经我不靠谱的分析...中国联通的这种行为:&/p&&p&
篡改网页内容,侵害用户与第三方网站的权利&/p&&p&
窃听用户通信(因为需要鉴别https与http,而且对于http连接,只在部分网页插入广告),侵犯用户隐私与通信自由&/p&&p&
违反用户与中国联通在购买手机卡时签订的协议&/p&&p&我想部分被坑群众还是需要参考资料的,于是我觉得应该把我的经历写出来供大家参考,前两天因为有考试(苦逼的学生党)就没在印象最深的时候及时写出来。&/p&&p&依我小人之心的揣度,联通的这种行径是不会停止的,大多数人缺少计算机网络方面的知识,还是会默默中招。而且据我身边同学的反映,中国移动也存在相同的流氓行径,不知道中国电信怎么样。大家对运营商的恶霸行为不能忍气吞声,一定勇敢维护自己的权益,工信部还是很叼的。。。&/p&&p&希望我写的这个能对你们有一些帮助。&/p&&p&--------------------------------------------------------------------------------------------------------------------------------------------&/p&&p&
其实这个是一个星期前写的,那个时候是想贴到知乎上来的,然而怎么都发不出去,答案涉嫌违规被删除。我检查了两三遍都没发现什么问题,超链接都是墙内的。我勒个去,气死我了。&/p&&p&
应该是开始图片引用来源有问题,现在我上传图片之后就好了……&/p&&p&
就在昨天,运营商因为此类事情被&b&今日头条、美团大众点评网、360、腾讯、微博、小米科技&/b&联合责问:&/p&&p&&a href=&///?target=http%3A///a/098.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&六家互联网公司发声明 抵制流量劫持等违法行为&i class=&icon-external&&&/i&&/a&&/p&&p&&a href=&///?target=http%3A//e./docs/99//BBN45LCK00963VRO.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&6家公司抵制运营商流量劫持&i class=&icon-external&&&/i&&/a&&/p&&p&—————————————————————————————————————&/p&&p&更新1&/p&&p&
收到好多赞呐!今天搜东西的时候打开了一个知乎的链接,发现有几百条未读消息,有点小激动。然后对文章几个语法或标点有问题的地方改了一下下。希望能让更多人看到,并对他们有帮助!&/p&&p&
有问题可以邮件联系,邮箱地址在最后一张截图里 ^_^&/p&&p&&b&
投诉小技巧&/b&:抓住主要矛盾,分析这种行为的错误之处(我回答里应该写详细了,而且最近又有六大互联网公司的公开信)。话费是对个人的赔偿,干扰网页浏览,精神损失费,浪费时间精力投诉啊什么的;要求关停这项业务是对整体客户的赔偿(这是主要矛盾)。希望大家不要只奔着话费去,而是要把维护我等消费者的权益作为出发点。索赔只是手段,迫使运营商关停这种流氓业务才是真正目的。&/p&&p&—————————————————————————————————————&/p&&p&更新2&/p&&br&&p&要先向运营商投诉,无法解决才能向工信部发起投诉,不然工信部也不会理你的。&/p&&p&&i&&b&向工信部投诉之前希望大家对运营商(客服妹子or汉子)发出警告——“再敷衍我我可就要向工信部申诉啦!”&/b&&/i&&/p&&p&&i&&b&因为有用户的电话记录,用户越级投诉到工信部,话务员没通知到相关后台就是扣kpi,所以会伤到一些无辜的客服。爪下留情啊。&/b&&/i&&/p&&p&&b&&i&============================================================&/i&&/b&&/p&&p&更新&/p&&p&5月6号,我的一张联通上网卡出现同样问题。&/p&&p&我这次要完成去年的遗憾,投诉时坚持让中国联通关停这项“沃助手”业务,这种因利乘便,坑害消费者的业务。当然并不知道结果会怎样,也许工信部对电信部门的压力是有限的。&/p&&p&这次我除了截屏,还想看一下网页源代码,看一下联通是怎么插的广告,于是在移动版chrome上使用view-source查看“百度知道”网页源代码,在开/关VPN的情况下分别保存。但是对比过后发现两个网页的源码是一模一样的。(view-source:&a href=&///?target=http%3A//& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&/&i class=&icon-external&&&/i&&/a&在中国联通的流量劫持的白名单里?)&/p&&p&我也不清楚是什么原因,但是没关系,我用手机给电脑开热点,用桌面版的Chrome切换到移动端模式后访问&a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&,于是在网页上也出现了联通的“流量球”,然后我把网页保存下来了。如图:&a href=&///?target=https%3A//hosting-/.png& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&hosting-&/span&&span class=&invisible&&/.png&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&img src=&/v2-2a4bef83beb3_b.png& class=&content_image&&&br&&p&上面的截图是今天打开“保存的网页”截的,Javascript来自114.247.28.96,属于中国联通的IP。&/p&&p&保存的网页文件在这:&a href=&///?target=https%3A///drive/folders/0B9dZgEEUGnbjYmdnZ0dtSXJuRlk%3Fusp%3Dsharing& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&/drive/&/span&&span class=&invisible&&folders/0B9dZgEEUGnbjYmdnZ0dtSXJuRlk?usp=sharing&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&p&这次拨打10010投诉时,我按了5,语音提示“投诉请按1,建议请按2”,我按了1,居然返回的语音提示是“您的上网流量使用详情已通过短信发送至您的手机”,然后回到了最初的“xx请按1,xx请按2...智能人工客服请按9”!&/p&&p&于是我使用通话录音,又打了一遍,把这个录下来了。然后直接向工信部投诉。网页提交申诉表后,用一封邮件把详细说明和附件发了过去。邮件内容如下:&/p&&p&这次我坚持让中国联通关闭这项业务,今天已经下午向客服说清楚了,至于最后是否能关闭,就看工信部够不够叼了。&/p&&p&—————————————————————————————————————&/p&&br&&p&省去中间的废话。&/p&&p&5月10日。中国联通表态是,拒绝我的要求,并声称它的行为不是流量劫持。还说已经咨询过律师,这种行为完全合法。&/p&&p&这么无耻竟让我&无语凝噎&。&/p&&p&搜集了一大堆文章~&论流量劫持&,明天或后天接着向工信部投诉。&/p&&p&~&/p&&p&&a href=&///?target=http%3A///p/eff& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/p/eff9553c8&/span&&span class=&invisible&&b64&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&br&&p&&a href=&///?target=http%3A//drops.wooyun.org/tips/13661& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&drops.wooyun.org/tips/1&/span&&span class=&invisible&&3661&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&br&&p&&a href=&///?target=http%3A//.cn/pcarticle/125609& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&.cn/pcarticle&/span&&span class=&invisible&&/125609&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&br&&p&&a href=&///?target=http%3A///m/sh//7615761.shtml& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/m/sh/2015&/span&&span class=&invisible&&/11-10/7615761.shtml&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&br&&p&《刑法》第286条规定,“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,处五年以下有期徒刑或者拘役,后果特别严重的,处五年以上有期徒刑。”&/p&&br&&p&~&/p&&p&&/p&&p&然并卵,向工信部反复投诉也没用,中国联通就是拒绝。&/p&
下面用我的亲身经历来说说如何打击运营商在网页中恶意植入广告的这种流氓行为。 我是北京联通用户,就在前些天(),一次在网上查资料的时候,我打开了一个百度知道的页面,一个巨幅广告映入眼帘,登时吓尿我了,如下左图 当时我第一反应是好奇地…
https其实就是建构在SSL/TLS之上的 http协议,所以要比较https比http多用多少服务器资源,主要看SSL/TLS本身消耗多少服务器资源。&br&&br&http使用TCP 三次握手建立连接,客户端和服务器需要交换3个包,https除了 TCP 的三个包,还要加上 ssl握手需要的9个包,所以一共是12个包。http 建立连接,按照下面链接中针对&a href=&///?target=http%3A//www.csh.rit.edu& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Computer Science House&i class=&icon-external&&&/i&&/a&的测试,是114毫秒;https建立连接,耗费436毫秒。ssl 部分花费322毫秒,包括网络延时和ssl 本身加解密的开销(服务器根据客户端的信息确定是否需要生成新的主密钥;服务器回复该主密钥,并返回给客户端一个用主密钥认证的信息;服务器向客户端请求数字签名和公开密钥)。&br&&a href=&///?target=http%3A///blog/geekery/ssl-latency.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&SSL handshake latency and HTTPS optimizations. :: &i class=&icon-external&&&/i&&/a&&br&当SSL 连接建立后,之后的加密方式就变成了3DES等对于 CPU 负荷较轻的对称加密方式。相对前面 SSL 建立连接时的非对称加密方式,对称加密方式对 CPU 的负荷基本可以忽略不记,所以问题就来了,如果频繁的重建 ssl 的session,对于服务器性能的影响将会是致命的,尽管打开https 保活可以缓解单个连接的性能问题,但是对于并发访问用户数极多的大型网站,基于负荷分担的独立的SSL termination proxy就显得必不可少了,Web 服务放在SSL termination proxy之后。SSL termination proxy既可以是基于硬件的,譬如F5;也可以是基于软件的,譬如维基百科用到的就是 &a href=&///?target=http%3A//en.wikipedia.org/wiki/Nginx& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Nginx&i class=&icon-external&&&/i&&/a&。&br&&br&那采用 https 后,到底会多用多少服务器资源,2010年1月 Gmail切换到完全使用 https, 前端处理 SSL 机器的CPU 负荷增加不超过1%,每个连接的内存消耗少于20KB,网络流量增加少于2%。由于 Gmail 应该是使用N台服务器分布式处理,所以CPU 负荷的数据并不具有太多的参考意义,每个连接内存消耗和网络流量数据有参考意义。这篇文章中还列出了单核每秒大概处理1500次握手(针对1024-bit 的 RSA),这个数据很有参考意义,具体信息来源的英文网址:&a href=&///?target=https%3A//www.imperialviolet.org//overclocking-ssl.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&ImperialViolet&i class=&icon-external&&&/i&&/a&。&br&&br&Heartbleed这个被称作史上最大的网络安全漏洞,想必很多人都有所耳闻,Heartbleed之所以能够出现,其实和我们这个问题关系还不小,前面我们谈到了频繁重建 SSL/TLS的session对于服务器影响是致命的,所以聪明的RFC 在2012年提出了 RFC6520 TLS 的心跳扩展。这个协议本身是简单和完美的,通过在客户端和服务器之间来回发送心跳的请求和应答,保活 TLS session,减少重建 TLS的session的性能开销。令人遗憾的是,openssl 在实现这个心跳扩展时,犯了一个低级的错误,没有对收到的心跳请求进行长度检查,直接根据心跳请求长度拷贝数据区,导致简单的心跳应答中可能包含了服务器端的核心数据区内容,用户名,密码,信用卡信息,甚至服务器的私有密钥都有可能泄露。心因为心跳保活的这个 BUG 在滴血,这个名字起的极度形象。&br&&br&下面开始讲一个无聊的故事,和问题关系不大,时间紧张的看官可以到此为止了。&br&&br&从前山上有座庙,庙里有个和尚......,别胡闹了,老和尚来了。&br&&br&小和尚问老和尚:ssl为什么会让http安全?&br&&br&老和尚答道:譬如你我都有一个同样的密码,我发信给你时用这个密码加密,你收到我发的信,用这个密码解密,就能知道我信的内容,其他的闲杂人等,就算偷偷拿到了信,由于不知道这个密码,也只能望信兴叹,这个密码就叫做对称密码。ssl使用对称密码对http内容进行加解密,所以让http安全了,常用的加解密算法主要有3DES和AES等。&br&&br&小和尚摸摸脑袋问老和尚:师傅,如果我们两人选择“和尚”作为密码,再创造一个和尚算法,我们俩之间的通信不就高枕无忧了?&br&&br&老和尚当头给了小和尚一戒尺:那我要给山下的小花写情书,还得用“和尚”这个密码不成?想了想又给了小和尚一戒尺:虽然我们是和尚,不是码农,也不能自己造轮子,当初一堆牛人码农造出了Wifi的安全算法WEP,后来发现是一绣花枕头,在安全界传为笑谈;况且小花只知道3DES和AES,哪知道和尚算法?&br&&br&小和尚问到:那师傅何解?&br&&br&老和尚:我和小花只要知道每封信的密码,就可以读到对方加密的信件,关键是我们互相之间怎么知道这个对称密码。你说,我要是将密码写封信给她,信被别人偷了,那大家不都知道我们的密码了,也就能够读懂我们情书了。不过还是有解的,这里我用到了江湖中秘传的非对称密码。我现在手头有两个密码,一个叫“公钥”,一个叫“私钥”,公钥发布到了江湖上,好多人都知道,私钥嘛,江湖上只有我一个人知道;这两个密钥有数学相关性,就是说用公钥加密的信件,可以用私钥解开,但是用公钥却解不开。公钥小花是知道的,她每次给我写信,都要我的公钥加密她的对称密码,单独写一张密码纸,然后用她的对称密码加密她的信件,这样我用我的私钥可以解出这个对称密码,再用这个对称密码来解密她的信件。&br&&br&老和尚顿了顿:可惜她用的对称密码老是“和尚为什么写情书”这一类,所以我每次解开密码纸时总是怅然若失,其实我钟意的对称密码是诸如“风花”“雪月”什么的,最头痛的是,我还不得不用“和尚为什么写情书”这个密码来加密我给小花回的情书,人世间最痛苦的事莫过于如此。可我哪里知道,其实有人比我更痛苦。山下的张屠夫,暗恋小花很多年,看着我们鸿雁传书,心中很不是滋味,主动毛遂自荐代替香客给我们送信。在他第一次给小花送信时,就给了小花他自己的公钥,谎称是我公钥刚刚更新了,小花信以为真,之后的信件对称密码都用张屠夫的这个公钥加密了,张屠夫拿到回信后,用他自己的私钥解开了小花的对称密码,然后用这个对称密码,不仅能够看到了小花信件的所有内容,还能使用这个密码伪造小花给我写信,同时还能用他的私钥加密给小花的信件。渐渐我发现信件变味了,尽管心生疑惑,但是没有确切的证据,一次我写信问小花第一次使用的对称密码,回信中“和尚为什么写情书”赫然在列,于是我的疑惑稍稍减轻。直到有一次去拜会嵩山少林寺老方丈才顿悟,原来由于我的公钥没有火印,任何人都可以伪造一份公钥宣称是我的,这样这个人即能读到别人写给我的信,也能伪造别人给我写信,同样也能读到我的回信,也能伪造我给别人的回信,这种邪门武功江湖上称之“Man-in-the-middle attack”。唯一的破解就是使用嵩山少林寺的火印,这个火印可有讲究了,需要将我的公钥及个人在江湖地位提交给18罗汉委员会,他们会根据我的这些信息使用委员会私钥进行数字签名,签名的信息凸现在火印上,有火印的公钥真实性在江湖上无人质疑,要知道18罗汉可是无人敢得罪的。&br&&br&小和尚问:那然后呢?&br&&br&老和尚:从嵩山少林寺回山上寺庙时,我将有火印的公钥亲自给小花送去,可是之后再也没有收到小花的来信。过了一年才知道,其实小花还是给我写过信的,当时信确实是用有火印的公钥加密,张屠夫拿到信后,由于不知道我的私钥,解不开小花的密码信,所以一怒之下将信件全部烧毁了。也由于张屠夫无法知道小花的对称密码而无法回信,小花发出几封信后石沉大海,也心生疑惑,到处打听我的近况。这下张屠夫急了,他使用我发布的公钥,仿照小花的语气,给我发来一封信。拿到信时我就觉得奇怪,信纸上怎么有一股猪油的味道,结尾竟然还关切的询问我的私钥。情知有诈,我思量无论如何要找到办法让我知道来的信是否真是小花所写。后来竟然让我想到了办法....&br&&br&老和尚摸着光头说:这头发可不是白掉的,我托香客给小花带话,我一切安好,希望她也拥有属于自己的一段幸福,不对,是一对非对称密钥。小花委托小镇美女协会给小花公钥打上火印后,托香客给我送来,这样小花在每次给我写信时,都会在密码纸上贴上一朵小牡丹,牡丹上写上用她自己的私钥加密过的给我的留言,这样我收到自称是小花的信后,我会先抽出密码纸,取下小牡丹,使用小花的公钥解密这段留言,如果解不出来,我会直接将整封信连同密码纸一起扔掉,因为这封信一定不是小花写的,如果能够解出来,这封信才能确信来之于小花,我才仔细的解码阅读。&br&&br&小和尚:难怪听说张屠夫是被活活气死的。您这情书整的,我头都大了,我长大后,有想法直接扯着嗓子对山下喊,也省的这么些麻烦。不过我倒是明白了楼上的话,ssl 握手阶段,就是要解决什么看火印,读牡丹,解密码纸,确实够麻烦的,所以性能瓶颈在这里,一旦双方都知道了对称密码,之后就是行云流水的解码读信阶段了,相对轻松很多。
https其实就是建构在SSL/TLS之上的 http协议,所以要比较https比http多用多少服务器资源,主要看SSL/TLS本身消耗多少服务器资源。 http使用TCP 三次握手建立连接,客户端和服务器需要交换3个包,https除了 TCP 的三个包,还要加上 ssl握手需要的9个包,所以…
其实最近我也在某网站的开发组内讨论应用全站https事宜。&br&其原因非常简单。&br&&br&&b&因为不断接到用户投诉说网站上出现影响浏览体验的大面积广告。&/b&&br&可是网站平常只针对未登录用户在顶栏和底栏打两小条广告。而且这种露骨的广告。。。。。。&br&&br&一看就是当地运营商干的。&br&强行劫持用户浏览,往里面插入自己的广告。&br&运营商都是大爷,我们不敢惹,以往都是默默忍着,安抚用户说这不是我们投放的广告。引导用户清缓存刷新之类的。&br&&br&应该说积累了这么多年,运营商也不断变本加厉,从原来的右下角小广告到了覆盖页面的全屏广告。大家终于在2015年开始爆发了。我上次在群里聊起这个问题,大家一看换https的价格(证书、加密时的多余计算能力)居然已经低到完全可以接受了,而且还能获得一些多余的好处,比如增强穿墙性能什么的。&br&&br&于是大家一合计,开干吧。然后就默默的开始做整站迁移至https的工作。&br&&br&应该说,使用https成本的下降,尤其是计算成本的下降是2015年https爆发的主要原因,当然这和几个CA纷纷推出超低价证书甚至是免费证书也是分不开的。&br&不过最终导致大家下定决心更换https的导火索就是运营商劫持流量投放广告了。&br&&br&而且随着计算价格的不断下降,https因为加密产生的性能消耗正在被人们逐渐忽略。相反https带来的安全性正在被人们逐渐重视。&br&在未来的几年内,会有越来越多的网站启用https。
其实最近我也在某网站的开发组内讨论应用全站https事宜。 其原因非常简单。 因为不断接到用户投诉说网站上出现影响浏览体验的大面积广告。 可是网站平常只针对未登录用户在顶栏和底栏打两小条广告。而且这种露骨的广告。。。。。。 一看就是当地运营商干的…
&p&在信息安全方面有一个不成文的共识,就是尽可能不要自己造轮子,而是用那些成熟的、经过千锤百炼的轮子。&/p&&p&每个喜好钻研的程序员都免不了冒出这种念头:如果我自己发明出一种不为人知的加密算法,会不会比公开的算法更安全,能避免被破解?比如「用新算法加密http,替代https」。&/p&&br&&p&不会,起码在https这个问题上绝对不可能。&/p&&p&下面来详细解释一下直接加密http数据来替代https会有哪些问题:&/p&&br&&p&第一,&b&性能&/b&问题。这一条最容易理解,浏览器通过http收到加密数据后,需要用javascript来执行解密算法,而https是浏览器原生支持的,两者的性能差距可能高达一到两个数量级。就算所有的安全问题都解决了,也不推荐这么做;&/p&&br&&p&第二就是&b&兼容性&/b&问题了。https其实不是单一算法,而是一系列算法和加密协议的整合。&/p&&p&从早期的SSL3.0一直进化到今天的TLS1.2以及起草中的TLS1.3协议;&/p&&p&密钥交换阶段的RSA、DHE等非对称加密算法;&/p&&p&加密信息传输过程中的AES、3DES等对称加密算法;&/p&&p&验证数据完整性的HMAC-SHA1、HMAC-SHA256等哈希算法;&/p&&p&包括使用中的和被淘汰的,林林总总合计有几十种之多。&/p&&p&而且随着攻击方式的进化和安全性要求的不断提升,新的算法不停加入,旧的算法不停被淘汰。&/p&&p&由于不同客户端和服务器所支持的算法类型有新有旧,所以任何https连接建立之前都要进行协商,选择双方都能支持又足够安全的算法后再进行加密连接。&/p&&p&那么,在客户端和服务端也都要同时维护不断进化的加密算法并进行协商,保证版本兼容性。否则这种加密协议就永远不能推广,只能在少数私有项目中使用。&/p&&br&&p&第三,也是最重要的,我们来看看这种加密的的&b&安全性&/b&如何吧,有多少地方可能被攻破。&/p&&p&我们假设性能不是问题,兼容性也暂不考虑,只讨论安全性。&/p&&p&javascript这种直接暴露源码的语言,就算混淆过也没有什么秘密可言,甚至能直接在浏览器中debug、引入插件、加载外部脚本等。单这点就远不如浏览器这种独立应用程序了,至少对浏览器进行恶意修改和注入的行为理论上是能被杀毒软件拦截的。&/p&&p&那么把外壳的安全也放在一边,仅说加密算法行不行?&/p&&p&先排除掉纯对称加密的方式。因为密钥通过明文传输,无论是预置还是每次更换都难以避免被截获。&/p&&p&那就只好重新造一次SSL/TLS的轮子了,即先通过RSA加密传输对称密钥,再通过此密钥加密往来数据。&/p&&p&但这样依然不行。尽管RSA是非对称算法,能保证加解密过程的安全,但公钥本身的传输仍然是可以被截获并篡改的。正如针对https的中间人攻击一样,如果在握手阶段伪造了公钥,则能够轻易截获之后的所有通信。https防范中间人攻击的方式是CA证书,所有网站证书都通过CA证书体系一级一级信任下来,而根证书是&b&内置于操作系统中&/b&的,需要相当高的权限才能操作(当然不能百分百防范,但已经是很高的安全措施了)。&/p&&p&但如果把整套证书安全机制放在js脚本里执行,那跟原来相比简直是天上地下的差距,毫无安全性可言了。&/p&&br&&p&以上只做了一些简单分析,自己开发的http加密就已经溃不成军。而且结论还建立在代码本身没有缺陷、没有漏洞的情况下。js这种弱类型语言出bug的几率有多高就不用多提了吧?&/p&&br&&p&这并不是说自己造的轮子都毫无价值,出于学习和研究目的而编写算法甚至实现一些框架都是有意义的。但对于正式应用而言,永远是那些公开的、被广泛应用的技术方案更加靠谱。&/p&&p&开发一种不为人知的加密算法就像隐居山林的武术大师,凭想象构建了一套天下无敌的神奇功夫,但不出山则已,一出山就直接被业余散打运动员撂翻在地。只有每天都进行对抗训练,经受各种实战考验,才有可能成为真正的武林高手。&/p&
在信息安全方面有一个不成文的共识,就是尽可能不要自己造轮子,而是用那些成熟的、经过千锤百炼的轮子。每个喜好钻研的程序员都免不了冒出这种念头:如果我自己发明出一种不为人知的加密算法,会不会比公开的算法更安全,能避免被破解?比如「用新算法加密…
奥卡姆剃刀在这个问题上并非完全不懂行,而是彻底的书呆子。&br&&br&先不举复杂的例子,大家都知道的验证码(Captcha Code)这么个东西,就是很多网页输入页面上的一个看起来比较扭曲的字母数字,以防止程序或者爬虫轻易登录或者访问。&br&&br&个中原理足够简单,一般而言也足够防范没有OCR能力的爬虫程序。但是给大家看下&a href=&///?target=http%3A//www.indianrail.gov.in/pnr_Enq.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&印度铁道部网站&i class=&icon-external&&&/i&&/a&上的一个的奇葩实现。&br&&br&&img src=&/a315fd4e6d8f17b5aa82_b.jpg& data-rawwidth=&251& data-rawheight=&134& class=&content_image& width=&251&&不知道大家注意到没,这个验证码实际上不是图片,而是真正的文字,可以选择然后copy/paste的。&br&&br&更搞笑的是,他们把这个值直接包含着网页的源代码里。&br&&br&&img src=&/27f8f79d1edbe196aadacd89_b.jpg& data-rawwidth=&659& data-rawheight=&413& class=&origin_image zh-lightbox-thumb& width=&659& data-original=&/27f8f79d1edbe196aadacd89_r.jpg&&所以这是世界上对爬虫最友好的验证码,而且在印度铁道部网站上挂了至少一年多了都没改。&br&&br&这个例子说明什么呢?&br&&br&&b&就是再好的技术规范也是要人来实现和遵守的,而人当中是有傻B的!&/b&&br&&br&回到剃刀的观点,他认为只要用银行的手机网银客户端,同时使用HTTPS和银行的服务器通讯,那么即便连接黑客搭设的WIFI也是安全的。真的是这样么?&br&&br&HTTPS作为标准本身的确足够安全,但是你能保证在程序中实现这个标准的人或者机构足够靠谱吗?食品国标还足够严格呢,但是三鹿和福喜咋回事?&br&&br&&a href=&/people/virusdefender& class=&internal&&virusdefender&/a&的回答里已经给了一个&a href=&///?target=http%3A///%3Fp%3D208& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&某手机银行被中间人劫持攻击的实际案例&i class=&icon-external&&&/i&&/a&,以及腾讯安全中心的这篇文章 &a href=&///?target=http%3A///index.php/blog/msg/41& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&窃听风暴:Android平台HTTPS窃听嗅探劫持漏洞&i class=&icon-external&&&/i&&/a&。&br&&br&简单的说,就是只要你用这个手机连上了一个黑客开设的公开WIFI,然后打开网银客户端(没错是客户端),因为客户端虽然通过HTTPS访问银行网站,但此时的银行网站完全可能是伪造的(因为WIFI被黑客控制,DNS解析什么的都不在话下),理论上HTTPS协议要求核对网站服务器的数字证书来验明身份,但是,这些客户端的实现代码里忽略了这一步,也就是说证书不对或者过期都没关系,客户端照样连接。&br&&br&接下来就是典型的中间人攻击——黑客伪造的服务器面对网银客户端充当服务器,而同时又冒充客户端访问真正的银行服务器,因为客户端已经相信并接受了虚假的证书,于是用这个假证书中的公钥来对数据进行加密,由于解密用的私钥就在黑客手上,因此这个加密过程对黑客而言是完全透明的。然后黑客程序将数据解密成明文后,进行替换或者伪造等进一步的加工,再和真正银行服务器进行通信,就能干很多事情了。&br&&br&这个原理对于很多安全领域从业者而言其实是常识!为什么呢,因为绝大部分的企业用杀毒软件,都是一个合法的中间人,没错如果你的公司装有企业级杀毒软件,那么你的所有HTTPS请求数据理论上公司都看得到,而且这么做不仅在中国,在美国都是&b&完全合法&/b&的,因为你用公司的电脑和网络,照道理就不该有隐私。&br&&br&作为我此言不虚的旁证,虽然我现在是个做英语教育网站和APP的,但也曾经在趋势科技研发中心打过两三年酱油,亲手做过Proxy端替换证书来对HTTPS数据进行解密然后扫描(病毒什么的)这种完!全!合!法!的事情。安全方面的知识我如今已经是弱不禁风,但是我大体能想象跟剃刀斗嘴那帮大神的水平(下限)——当他们说行的时候,你还是相信比较好。&br&&br&说到底网络环境是很险恶的,大家用盗版操作系统瞎刷来路不明的ROM已经毫无压力(天知道里面会预装什么)了,提醒你不要用公开WIFI,或者至少不要在这种情况下用网银,等于提醒你在一个盗匪横行的街区行走别把钱包拿手上一样,但偏有人站出来说大家别怕法律会保护你的人身财产安全!&br&&br&哎~&br&&br&补充:&br&剃刀老师现身评论,可惜思维又跳跃了一下,我希望他认可自己之前所说“只要用银行的客户端通过HTTPS访问就没有安全风险”这样的科普言论的不严谨之处,目前还没有收到他正面回复。&br&&br&&img src=&/92df73abaf47cdfc9fb33bd5a3b8d8fc_b.jpg& data-rawwidth=&596& data-rawheight=&112& class=&origin_image zh-lightbox-thumb& width=&596& data-original=&/92df73abaf47cdfc9fb33bd5a3b8d8fc_r.jpg&&&img src=&/b841a3cf4db74ceafeec_b.jpg& data-rawwidth=&594& data-rawheight=&134& class=&origin_image zh-lightbox-thumb& width=&594& data-original=&/b841a3cf4db74ceafeec_r.jpg&&
奥卡姆剃刀在这个问题上并非完全不懂行,而是彻底的书呆子。 先不举复杂的例子,大家都知道的验证码(Captcha Code)这么个东西,就是很多网页输入页面上的一个看起来比较扭曲的字母数字,以防止程序或者爬虫轻易登录或者访问。 个中原理足够简单,一般而言也…
&b&谢邀。&/b&&blockquote&刚好这两天想要发布公共号关于这篇文章,“L”告诉你的? 那我就简单的说说(随后同步到公众号和专栏)另外如果有人说有AD或者其他嫌疑,那你就当没看见关闭网页吧,用心去看。&br&&/blockquote&&br&&b&一、背景描述&/b&&br&最近波兰CERT一篇名&Large-scale DNS redirection on home routers for financial theft&为的文章引起我们的注意,原文地址:(&a href=&///?target=https%3A//www.cert.pl/news/8019/langswitch_lang/en& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://www.&/span&&span class=&visible&&cert.pl/news/8019/langs&/span&&span class=&invisible&&witch_lang/en&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&),报告中写到:“很多家用路由器存在未授权的远程修改配置漏洞导致了这次事件的发生。黑客通过在网上银行页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码,最终窃取了用户银行里面的钱。”&br&&br&前两天微信公众号网站安全中心(&i&wangzhan_anquan&/i&)发表消息:近日波兰遭遇大规模DNS劫持攻击,黑客通过修改家用路由器DNS配置从而劫持用户请求,最终窃取了用户银行里的钱!类似DNS劫持手法应该会很快便延伸到国内,危及网民安全。&br&&br&很多朋友收到此消息后给我们留言抛出这样的疑问:&br&&ul&&li&这个和去年的有什么不同?&br&&/li&&li&修改路由器dns劫持,国内已经有好多了,但是没听说过洗钱的。&br&&/li&&li&我只听说过能够dns劫持我的HTTP请求,HTTPS也不安全啊?&br&&/li&&li&More...&br&&/li&&/ul&&br&&img src=&/9b88e71bd8ee539ea4cbf_b.jpg& data-rawwidth=&479& data-rawheight=&467& class=&origin_image zh-lightbox-thumb& width=&479& data-original=&/9b88e71bd8ee539ea4cbf_r.jpg&&&br&更多朋友所不知道的是,HTTPS加密请求也能嗅探到?&br&&br&&b&什么是HTTPS:&/b&&br&HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。句法类同http:体系,用于安全的HTTP数据传输。https:URL表明它使用了HTTPS。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。&br&&br&之所以大家都认为不能嗅探HTTPS请求的原因是来自对加密SSL层的信任,那么黑客是怎么做到的嗅探HTTPS?&br&&br&简单的说黑客为了绕过HTTPS,采用了SSL层剥离的技术,黑客阻止用户和使用HTTPS请求的网站之间建立SSL连接,使用户和代理服务器(攻击者所控服务器)之间使用了未加密的HTTP通信。&br&&br&&b&二、攻击细节&/b&&br&黑客(攻击者)使用了一款工具来实施攻击-SSLStrip,他能够阻止用户和使用HTTPS请求的网站之间建立SSL层连接,进行中间人劫持(类似于&a href=&///?target=http%3A///link%3Furl%3Drtf--S3fUxebvBo6UnNBi9jLPbrwreV6Y6RkfR_hb20GucLgI_-PJqzXofRIBh2H& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&ARP欺骗_百度百科&i class=&icon-external&&&/i&&/a&)。&br&&img src=&/fb3a1ec1a208a2891216bedcf263c3cc_b.jpg& data-rawwidth=&938& data-rawheight=&626& class=&origin_image zh-lightbox-thumb& width=&938& data-original=&/fb3a1ec1a208a2891216bedcf263c3cc_r.jpg&&上面就是我使用sslstrip进行嗅探内网某设备的截图,当然这只是一张图:)&br&&br&&b&SSLStrip的工作原理:&/b&&br&&ol&&li&进行中间人攻击来劫持HTTP请求流量。&br&&/li&&li&将出现的HTTPS链接全部替换为HTTP,同时记录所有改变的链接。&br&&/li&&li&使用HTTP与受害者机器链接。&br&&/li&&li&同时与合法的服务器建立HTTPS。&br&&/li&&li&受害者与合法服务器之间的全部通信请求经过代理(攻击者服务器)转发。&br&&/li&&li&完成劫持请求&br&&/li&&/ol&&br&&b&攻击的流程原理可用下图表示:&/b&&br&&img src=&/3ec57ba8ce87e_b.jpg& data-rawwidth=&718& data-rawheight=&413& class=&origin_image zh-lightbox-thumb& width=&718& data-original=&/3ec57ba8ce87e_r.jpg&&有关波兰遭遇大规模DNS劫持用户网上银行的事件中,因为使用SSLStrip会提醒用户连接没有使用SSL加密,黑客为了迷惑用户,重写了URL,在域名前加了“ssl-.”的前缀,当然这个域名是不存在的,只能在黑客的恶意DNS才能解析。&br&&br&&img src=&/8021efe69ef039cd9eb2_b.jpg& data-rawwidth=&1080& data-rawheight=&436& class=&origin_image zh-lightbox-thumb& width=&1080& data-original=&/8021efe69ef039cd9eb2_r.jpg&&&br&这件事情的源头是因为ZynOS路由器出现漏洞,导致的大批量DNS劫持,有关ZynOS漏洞利用攻击代码已经在Github上有人放出来了,整个流程如下:&br&&ol&&li&攻击者批量劫持用户DNS&br&&/li&&li&重写URL迷惑用户&br&&/li&&li&使用SSLStrip进行请求劫持&br&&/li&&li&完成劫持&br&&/li&&/ol&&br&波兰这次事件主要是黑客利用路由漏洞进行了大范围DNS劫持然后使用sslstrip方法进行&b&嗅探&/b&,这次方法要比之前单纯的DNS劫持有趣的多,当然危害也大的多。&br&&br&&b&解决方案&/b&&br&这种攻击方式马上会在国内展开攻击,这种攻击往往不是基于服务端,特别是SSL Stripping技术,其攻击手法不是针对相应固件也不是利用固件漏洞,所以大家有必要好好看一下解决方案,真正的把DNS防御杜绝在门外!&br&&br&&b&检查DNS是否正常&/b&&br&拿TP-Link举例,浏览器访问192.168.1.1(一般是这个,除非你改了),输入账号密码登陆(默认账号密码在说明书上都有)-& 网络参数-& WAN口设置-& 高级设置-& 看看里面DNS的IP是否勾选了“手动设置DNS服务器”。&br&&br&&blockquote&* 如果你没有人工设置过,但勾选了,那就要警惕是否被黑客篡改了。&br&* 如果没勾选,一般情况下没有问题。&br&* 检查DNS IP是否正常:在百度上搜索下里面的DNS IP看看是不是国内的,如果是国外的则需要警惕了!除非是Google的8.8.8.8这个,看看百度的搜索结果有没有谁讨论过这个DNS IP的可疑情况,有些正常DNS IP也会有人讨论质疑,这个需要大家自行判断一下,实在没把握就设置DNS IP如下:&br&主DNS服务器:114.114.114.114,备用DNS服务器为:8.8.8.8&/blockquote&&br&关于其他品牌如何修改查看或者修改DNS的话,和上面步骤也差不多,实在找不到的话就百度一下,多方便。&br&&br&如果发现被攻击的痕迹,重置路由器是个好办法,当然下面的步骤是必须的:&br&&br&&br&&b&修改路由器Web登陆密码&/b&&br&路由器一般都会有Web管理页面的,这个管理界面的登陆密码记得一定要修改!一般情况下默认账号密码都是admin,把账号密码最好都修改的复杂点儿吧!&br&&br&上面的步骤都是人工的,我们另外准备了工具(建议结合使用):&a href=&///?target=http%3A//zhanzhang.anquan.org/topic/dns_hijacking/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&DNS劫持恶意代码检测&i class=&icon-external&&&/i&&/a&&br&&br&开启计算机防火墙以及安装杀软也能有效的防御此类攻击。当然https还是安全的,只不过登陆相应https网站或者涉及敏感隐私/金钱交易网站时候&b&注意网址左侧的证书颜色,绿色黄色红色分别代表不同级别!&/b&&br&&img src=&/73cc8cb4abb97_b.jpg& data-rawwidth=&297& data-rawheight=&63& class=&content_image& width=&297&&&br&&br&或者你还不了解DNS劫持?:&a href=&///?target=http%3A//mp./mp/appmsg/show%3F__biz%3DMjM5NTUzMzMwMQ%3D%3D%26appmsgid%3Ditemidx%3D1%26sign%3Df591e4d7ceb21a3f06e292cdfafeaa74%23wechat_redirect& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&DNS劫持那些事&i class=&icon-external&&&/i&&/a&
谢邀。刚好这两天想要发布公共号关于这篇文章,“L”告诉你的? 那我就简单的说说(随后同步到公众号和专栏)另外如果有人说有AD或者其他嫌疑,那你就当没看见关闭网页吧,用心去看。 一、背景描述 最近波兰CERT一篇名&Large-scale DNS redirection on home…
HTTP 2.0 的出现,相比于 HTTP 1.x ,大幅度的提升了 web 性能。在与 HTTP/1.1 完全语义兼容的基础上,进一步减少了网络延迟。而对于前端开发人员来说,无疑减少了在前端方面的优化工作。本文将对 HTTP 2.0 协议 个基本技术点进行总结,联系相关知识,探索 HTTP 2.0 是如何提高性能的。&br&&br&&br&&strong&初露锋芒&/strong&&br&&p&&a href=&///?target=https%3A///demo& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/2: the Future of the Internet&i class=&icon-external&&&/i&&/a& 这是 Akamai 公司建立的一个官方的演示,用以说明 HTTP/2 相比于之前的 HTTP/1.1 在性能上的大幅度提升。 同时请求 379 张图片,从Load time 的对比可以看出 HTTP/2 在速度上的优势。&/p&&img src=&/a8c500242cca3edb042b194d_b.png& data-rawwidth=&945& data-rawheight=&585& class=&origin_image zh-lightbox-thumb& width=&945& data-original=&/a8c500242cca3edb042b194d_r.png&&&br&&p&此时如果我们打开 Chrome Developer Tools 查看 Network 一栏可以发现,HTTP/2 在网络请求方面与 HTTP /1.1的明显区别。&/p&&p&&br&HTTP/1:&br&&/p&&img src=&/da14f0743605dfdadbb601b4_b.png& data-rawwidth=&986& data-rawheight=&767& class=&origin_image zh-lightbox-thumb& width=&986& data-original=&/da14f0743605dfdadbb601b4_r.png&&&br&&p&HTTP/2:&/p&&img src=&/cf8b9bbee7dc2be61492_b.png& data-rawwidth=&980& data-rawheight=&762& class=&origin_image zh-lightbox-thumb& width=&980& data-original=&/cf8b9bbee7dc2be61492_r.png&&&br&&strong&多路复用 (Multiplexing)&/strong&&br&&p&&strong&多路复用允许同时通过单一的 HTTP/2 连接发起多重的请求-响应消息。&/strong&&/p&&p&众所周知 ,在 HTTP/1.1 协议中 「浏览器客户端在同一时间,针对同一域名下的请求有一定数量限制。超过限制数目的请求会被阻塞」。&/p&&br&&blockquote&Clients that use persistent connections SHOULD limit the number of simultaneous connections that they maintain to a given server. A single-user client SHOULD NOT maintain more than 2 connections with any server or proxy. A proxy SHOULD use up to 2*N connections to another server or proxy, where N is the number of simultaneously active users. These guidelines are intended to improve HTTP response times and avoid congestion.&/blockquote&来源:RFC-.4 Practical Considerations&br&&a href=&///?target=http%3A//www.w3.org/Protocols/rfc2616/rfc2616-sec8.html%23sec8.1.4& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/1.1: Connections&i class=&icon-external&&&/i&&/a&&br&&br&该图总结了不同浏览器对该限制的数目。&br&&img src=&/faedeb3daed6a5dbf436e5_b.png& data-rawwidth=&708& data-rawheight=&359& class=&origin_image zh-lightbox-thumb& width=&708& data-original=&/faedeb3daed6a5dbf436e5_r.png&&来源:&br&&a href=&///?target=http%3A///blog//roundup-on-parallel-connections/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Roundup on Parallel Connections&i class=&icon-external&&&/i&&/a&&br&这也是为何一些站点会有多个静态资源 CDN 域名的原因之一,拿 Twitter 为例,&a href=&///?target=http%3A///& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&&i class=&icon-external&&&/i&&/a&,目的就是变相的解决浏览器针对同一域名的请求限制阻塞问题。&br&而 HTTP/2 的多路复用(Multiplexing) 则允许同时通过单一的 HTTP/2 连接发起多重的&strong&请求-响应&/strong&消息。&br&&img src=&/b1e608ddb7493608efea3e76912aabe1_b.png& data-rawwidth=&1602& data-rawheight=&1588& class=&origin_image zh-lightbox-thumb& width=&1602& data-original=&/b1e608ddb7493608efea3e76912aabe1_r.png&&因此 HTTP/2 可以很容易的去实现多流并行而不用依赖建立多个 TCP 连接,HTTP/2 把 HTTP 协议通信的基本单位缩小为一个一个的帧,这些帧对应着逻辑流中的消息。并行地在同一个 TCP 连接上&strong&双向交换&/strong&消息。&br&&br&&br&&b&二进制分帧&/b&&br&在不改动 HTTP/1.x 的语义、方法、状态码、URI 以及首部字段….. 的情况下, HTTP/2 是如何做到「突破 HTTP1.1 的性能限制,改进传输性能,实现低延迟和高吞吐量」的 ?&br&关键之一就是在 应用层(HTTP/2)和传输层(TCP or UDP)之间增加一个二进制分帧层。&br&&br&&img src=&/906e1325d93aae0f1e07_b.jpg& data-rawwidth=&625& data-rawheight=&324& class=&origin_image zh-lightbox-thumb& width=&625& data-original=&/906e1325d93aae0f1e07_r.jpg&&在二进制分帧层中, HTTP/2 会将所有传输的信息分割为更小的消息和帧(frame),并对它们采用二进制格式的编码 ,其中 HTTP1.x 的首部信息会被封装到 HEADER frame,而相应的 Request Body 则封装到 DATA frame 里面。&br&HTTP/2 通信都在一个连接上完成,这个连接可以承载任意数量的双向数据流。&br&在过去, HTTP 性能优化的&strong&关键并不在于高带宽&/strong&,而是&strong&低延迟&/strong&。TCP 连接会随着时间进行自我「调谐」,起初会限制连接的最大速度,如果数据成功传输,会随着时间的推移提高传输的速度。这种调谐则被称为 TCP 慢启动。由于这种原因,让原本就具有突发性和短时性的 HTTP 连接变的十分低效。&br&HTTP/2 通过让所有数据流共用同一个连接,可以更有效地使用 TCP 连接,让高带宽也能真正的服务于 HTTP 的性能提升。&br&&br&总结:&br&&ul&&li&单连接多资源的方式,减少服务端的链接压力,内存占用更少,连接吞吐量更大&/li&&li&由于 TCP 连接的减少而使网络拥塞状况得以改善,同时慢启动时间的减少,使拥塞和丢包恢复速度更快&/li&&/ul&&img src=&/aec6593fd6addad0310faa5_b.png& data-rawwidth=&772& data-rawheight=&555& class=&origin_image zh-lightbox-thumb& width=&772& data-original=&/aec6593fd6addad0310faa5_r.png&&&br&&strong&首部压缩(Header Compression)&/strong&&br&HTTP/1.1并不支持 HTTP 首部压缩,为此 SPDY 和 HTTP/2 应运而生, SPDY 使用的是通用的&a href=&///?target=https%3A//en.wikipedia.org/wiki/DEFLATE& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&DEFLATE&i class=&icon-external&&&/i&&/a& 算法,而 HTTP/2 则使用了专门为首部压缩而设计的 &a href=&///?target=http%3A//http2.github.io/http2-spec/compression.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HPACK&i class=&icon-external&&&/i&&/a& 算法。&br&&img src=&/c41c386f03b41f149a53fb17f520dd8d_b.png& data-rawwidth=&614& data-rawheight=&309& class=&origin_image zh-lightbox-thumb& width=&614& data-original=&/c41c386f03b41f149a53fb17f520dd8d_r.png&&&br&&strong&服务端推送(Server Push)&/strong&&p&服务端推送是一种在客户端请求之前发送数据的机制。在 HTTP/2 中,服务器可以对客户端的一个请求发送多个响应。Server Push 让 HTTP1.x 时代使用内嵌资源的优化手段变得没有意义;如果一个请求是由你的主页发起的,服务器很可能会响应主页内容、logo 以及样式表,因为它知道客户端会用到这些东西。这相当于在一个 HTML 文档内集合了所有的资源,不过与之相比,服务器推送还有一个很大的优势:可以缓存!也让在遵循同源的情况下,不同页面之间可以共享缓存资源成为可能。&/p&&img src=&/d9f1b7afc0_b.png& data-rawwidth=&492& data-rawheight=&211& class=&origin_image zh-lightbox-thumb& width=&492& data-original=&/d9f1b7afc0_r.png&&&br&&br&&b&关于 HTTP/2 的 Server Push 以及 &/b&&b&HTTP/2 的缓存策略&/b&&br&典型问题:&br&&b&「如果客户端早已在缓存中有了一份 copy 怎么办?」还要 Push 吗?&/b&&br&详情参考另一个答案:&br&&a href=&/question//answer/& class=&internal&&HTTP/2 对现在的网页访问,有什么大的优化呢?体现在什么地方&/a&&br&&br&&b&PS:&/b&&br&强烈推荐阅读
Mark Nottingham 在 &b&Velocity Beijing 2015&/b& 的 speech&br&&b&HTTP/2 for Front-End Developers&/b& ,关于 HTTP/2 下的前端性能优化相关。&br&Slide 地址:&a href=&///?target=https%3A//www.mnot.net/talks/h2fe/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/2 for Front-End Developers&i class=&icon-external&&&/i&&/a&&br&&br&参考资料:&br&&ul&&li&Gitbook 《HTTP2 讲解》 by Calvin Zhang and Simon Xia:&a href=&///?target=https%3A///book/ye11ow/http2-explained/details& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&http2讲解
- GitBook&i class=&icon-external&&&/i&&/a&&/li&&li&HTTPS、SPDY 以及 HTTP/2 性能简单对比:&a href=&///?target=http%3A////a-simple-performance-comparison-of-https-spdy-and-http2/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&A Simple Performance Comparison of HTTPS, SPDY and HTTP/2&i class=&icon-external&&&/i&&/a&&/li&&li&HTTP/2 的压缩算法--HPACK(RFC7541):&a href=&///?target=https%3A//httpwg.github.io/specs/rfc7541.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HPACK: Header Compression for HTTP/2&i class=&icon-external&&&/i&&/a&&/li&&li&NGINX HTTP/2 白皮书:&a href=&///?target=https%3A///wp-content/uploads/2015/09/NGINX_HTTP2_White_Paper_v4.pdf& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://www.&/span&&span class=&visible&&/wp-content/up&/span&&span class=&invisible&&loads/2015/09/NGINX_HTTP2_White_Paper_v4.pdf&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/li&&li&NGINX Blog--提升 HTTP/2 性能的 7个小建议:&/li&&ul&&li&&a href=&///?target=https%3A///blog/7-tips-for-faster-http2-performance/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&7 Tips for Faster HTTP/2 Performance&i class=&icon-external&&&/i&&/a&(原文)&/li&&li&&a href=&///?target=http%3A///topic/1563%23tip7sharding& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&[译]使用HTTP/2提升性能的7个建议&i class=&icon-external&&&/i&&/a&(李松峰译)&/li&&/ul&&br&&li&&a href=&///?target=https%3A///insites/2015/03/http-2.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/2 for a Faster Web&i class=&icon-external&&&/i&&/a&&br&&/li&&li&O'Reilly &i&HTTP2-high-perf-browser-networking:&/i&&a href=&///?target=http%3A///webops-perf/free/files/HTTP2-high-perf-browser-networking.pdf& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/webops-perf&/span&&span class=&invisible&&/free/files/HTTP2-high-perf-browser-networking.pdf&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/li&&li&HTTP/2 新特性浅析:&a href=&///?target=http%3A////http2/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/2 新特性浅析&i class=&icon-external&&&/i&&/a&&/li&&li&Kevin blog 关于 HTTP/2 的系列归档:&a href=&///?target=http%3A//www.unclekevin.org/%3Fcat%3D15& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/2 | 凯文叔叔的网志&i class=&icon-external&&&/i&&/a&&/li&&li&Can i use 上关于支持HTTP/2 的浏览器:&a href=&///?target=http%3A///%23feat%3Dhttp2& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Can I use... Support tables for HTML5, CSS3, etc&i class=&icon-external&&&/i&&/a&&/li&&/ul&
HTTP 2.0 的出现,相比于 HTTP 1.x ,大幅度的提升了 web 性能。在与 HTTP/1.1 完全语义兼容的基础上,进一步减少了网络延迟。而对于前端开发人员来说,无疑减少了在前端方面的优化工作。本文将对 HTTP 2.0 协议 个基本技术点进行总结,联系相关知识,探索 …
360发布的这个浏览器支持的是GM/T 标准,使用&a href=&///?target=http%3A///view/c25b6b74aa8e72& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&双证书体系&i class=&icon-external&&&/i&&/a&,设计出来就是为了老大哥看你底裤用的,这是标准问题,跟加密算法关系到不是很大.... &a data-hash=&c78ab9a8fb990a3ac5070& href=&///people/c78ab9a8fb990a3ac5070& class=&member_mention& data-tip=&p$b$c78ab9a8fb990a3ac5070& data-hovercard=&p$b$c78ab9a8fb990a3ac5070&&@掌晓愚&/a&&br&-------------------------------------------&br&&b&是时候吊销一波国产证书了2333&/b&&br&再次安利:&a href=&///?target=https%3A///chengr28/RevokeChinaCerts& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&chengr28/RevokeChinaCerts · GitHub&i class=&icon-external&&&/i&&/a&&br&-------------------------------------------&br&有的人被老大哥偷窥(其实是光明正大的视奸)还能产生奇怪的快感,YY这是阻止外国邪恶势力颠*覆所做出的必要牺牲,&b&然而老大哥想看你的底裤才是发自真心2333&/b&
360发布的这个浏览器支持的是GM/T 标准,使用,设计出来就是为了老大哥看你底裤用的,这是标准问题,跟加密算法关系到不是很大....
------------------------------------------- 是时候吊销一波国产证书了2333 再次安利:
阿里云厉不厉害?&br&&img src=&/ddcae5660fcadbb2700e8f_b.png& data-rawheight=&868& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/ddcae5660fcadbb2700e8f_r.png&&有个屌用&br&微软厉不厉害?&br&&img src=&/82bd0200fb1dadd159977d_b.png& data-rawheight=&868& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/82bd0200fb1dadd159977d_r.png&&有个屌用&br&中移动厉不厉害?&br&&img src=&/00e6e61ee13f39d70f328_b.png& data-rawheight=&868& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/00e6e61ee13f39d70f328_r.png&&有个屌用&br&CNNIC厉不厉害?&br&&img src=&/1f91d98c7d_b.png& data-rawheight=&868& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/1f91d98c7d_r.png&&有个屌用&br&国家电网厉不厉害?&br&&img src=&/03c474d7fede4ca3c3ae23f66b886812_b.png& data-rawheight=&868& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/03c474d7fede4ca3c3ae23f66b886812_r.png&&有个屌用&br&“微软辣鸡,上个网都会中毒”&br&&img src=&/3da9f9ec8a1dcaa81fd961_b.png& data-rawheight=&900& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/3da9f9ec8a1dcaa81fd961_r.png&&&img src=&/1def499ef10ec53b41de1_b.png& data-rawheight=&900& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/1def499ef10ec53b41de1_r.png&&&img src=&/0c594aeb307c876_b.png& data-rawheight=&900& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/0c594aeb307c876_r.png&&&br&哪义务!&br&-----------------------&br&杭州电信用户,现在已经分不清哪些广告是网站自带的,哪些广告是电信插的了……
阿里云厉不厉害? 有个屌用 微软厉不厉害? 有个屌用 中移动厉不厉害? 有个屌用 CNNIC厉不厉害? 有个屌用 国家电网厉不厉害? 有个屌用 “微软辣鸡,上个网都会中毒” 哪义务! ----------------------- 杭州电信用户,现在已经分不清哪些广告是网站自带…
谢邀,先说结论:在&b&基础设施没有漏洞&/b&和&b&合理操作&/b&的前提下不能&b&。&/b&&br&&br&&br&&b&(国内用户另说,见文末)&/b&&br&&br&长文预警!&br&========&br&&br&要说能否截取HTTPS的明文信息,就要从HTTPS的原理说起了。&br&&br&所谓HTTPS协议,其实是指HTTP和TLS两种协议的结合。严格来说,HTTPS并不能算是一种协议,而应该被看做是HTTP协议在TLS协议之上,使用TLS加密的结果,即:信息仍然采用HTTP协议编码,但在传递时会由TLS协议来加密,从而达到避免窃听和中间人攻击的目的。&br&&br&那么题主实际上想要问的问题是:假设掌握了TLS加密后的密文,是否存在没有密匙而获取明文的方法?&br&&br&针对这个问题,我们从密码学的历史看起。首先要说的一点是,密码学(cryptography)和密码(password)是两个完全不同的概念。密码学指的是隐秘的传送信息的方法,而常说的“密码”则指的是用来认证身份的密匙。&br&&br&据说,在公元前480年希腊人对波斯人的战争时,斯巴达的司令曾派人给前线送去这样一条腰带:&br&&blockquote&KGDEINPKLRIJLFGOKLMNISOJNTVWG&br&&/blockquote&指挥官拿到后,将其缠在一条木棍上,得到了明文&Kill King&,如下:&br&&blockquote&&b&K&/b&GDE&b&I&/b&NPK&b&L&/b&RIJ&b&L&/b&FGO&b&K&/b&LMN&b&I&/b&SOJ&b&N&/b&TVW&b&G&/b&&/blockquote&斯巴达人虽然在这次战争中失败了,但这次战争中却出现了人类历史上第一次的加密。从此以后,在不断增多的秘密通讯需求的推动下,加密装置不断地增强,发展到第二次世界大战中的“迷”,成为了机械式加密装置的巅峰。&br&&br&在这之后,由于计算机技术的不断发展,更加复杂的加密方式变得可能,而更加强大的破解能力也在不断被实现。同时,由于网络链路的复杂性,任何一个环节被监听都可能导致信息的泄露,而双方也不可能预先约定一个密匙。这使得加密算法必须做到在算法被&b&公开&/b&的情况下依然不能被破译。RSA算法,TLS协议中使用的一个算法,就做到了这一点。&br&&br&RSA算法是公开密匙加密算法中的一种。在这样的算法中,每个用户拥有两个密匙:公匙和私匙。公匙是公开的,而私匙则不公开。这两个密匙数学上相互关联,但由公匙计算出私匙则几乎不可能。用公匙加密的信息可以由对应的私匙解密。这样,在用户使用网站时,网站与用户只需相互交换公匙,并用对方的公匙加密信息,就可以保证信息只有对方可以解密。破解RSA算法依赖于高效率的大数质因数分解,而目前尚没有有效的算法可以做到这一点。因此,在密匙长度足够的情况下,可以认为由RSA算法加密的信息是绝对安全的。&br&&br&但是仍然存在一个问题:我们虽然确认了这个信息是由某一公匙加密的,但却不能确定这一公匙对应者的身份。如果有人在信息传递的中途拦截了这些信息,并用他自己的公匙来替换了双方的公匙,他就完成了一次&b&中间人攻击&/b&(man-in-the-middle attack)。1586年,被伊丽莎白女王监禁的玛丽女王收获了安东尼·贝平顿的秘密信件,得知了他们秘密营救玛丽并刺杀伊丽莎白的计划。他们的信件中使用了密码,但却被当时的英格兰大臣华兴翰所截获,复制,由菲力普·马尼斯破解。在破解后,他们由模仿玛丽的笔记引诱安东尼行动,一举抓获叛逆者。由此可见中间人攻击的危害,不仅会导致信息的&b&泄露&/b&,更会导致内容被&b&替换&/b&,从而造成更大的损失。&br&&br&为了解决这个问题,我们引入了&b&信任链&/b&这一概念。简单地说,数字证书认证机构(CA),负责审核身份,并且对公匙做数字签名,再生成一个证书。数字签名技术同样采用RSA算法,我们只需拥有CA的公匙,就能够确认这条信息是由CA的私匙加密,从而保证了CA所生成的证书是由CA担保的。也就是说,CA&b&替用户完成了审核身份的工作&/b&。用户只需要信任CA的公匙,就能够信任由这个CA所颁发的所有证书的身份,从而避免了上述信息交换过程中,有第三方替换了证书来进行中间人攻击的可能性。&br&&br&可以看到,这一套系统中,我们做到了从两者初次交换信息开始,&b&所有&/b&的交换(公匙,密文)都公开可见,然而攻击者仍然不能破译出明文。这一点为现代的互联网提供了极大的方便,使得用户可以方便的建立可信任的连接。&br&&br&回到VPN的问题上来,虽然VPN提供者有浏览所有信息的浏览的能力,也有替换其中信息的能力,由于我们使用了&b&信任链&/b&和公匙加密系统,他既不能查看信息的明文,也不能对明文进行替换。&br&&br&那么可能的问题有哪些呢?&br&&br&1. 基础设施的漏洞&br&假如说,用户在收到信息时,并没有进行有效的身份认证,而是选择了直接信任这一信息,就能使攻击者可以采取任意的密匙来伪造身份。这一点的例子就是前段时间著名的&Goto fail&。假如VPN的所有者掌握了这样的漏洞,就可以伪造自己的身份,从而监听甚至伪造信息。&br&&br&2.不合理的操作&br&由信任链的结构可以看出,信任一个证书,就是选择了信任这个证书所代表的机构认证的任何证书。如果VPN的所有者诱导用户在自己的设备上信任了自己的CA,那么他只需要由这个CA颁发给自己一个证书,就可以做到伪造身份了。&br&&br&下面是私货夹带时间&br&===============&br&&br&很不幸,在国内,基本上&b&所有&/b&的用户都&b&很危险&/b&。&br&&br&为什么,因为在你安装支付宝安全插件的时候,它已经&b&自动帮你信任了一个它自己的CA证书了&/b&。或许支付宝认为没有什么别的机构有资格认证它的身份,那支付宝又有什么资格&b&认证其他机构的身份,认证Windows更新,认证驱动程序,认证文件加密&/b&?而这个CA证书,能做的远远不止这些。&br&&br&或许你觉得我们应该信任支付宝,但是:&br&&ol&&li&任何一个多余的证书都是潜在的安全威胁。如果这个证书的私匙被泄露了怎么办?如果支付宝的这个证书被用于认证除了支付宝以外的其他网站怎么办?这一点直接否定了CA存在的意义:帮助用户完成身份的审核。&br&&/li&&li&对不起,我不信任一个会转发我所有流量的互联网公司。(详见&a href=&/question/& class=&internal&&为什么 Alipay 的安全插件要从 Windows 底层转发几乎所有 TCP 流量? - 网络安全&/a&)&/li&&/ol&以上。
谢邀,先说结论:在基础设施没有漏洞和合理操作的前提下不能。 (国内用户另说,见文末) 长文预警! ======== 要说能否截取HTTPS的明文信息,就要从HTTPS的原理说起了。 所谓HTTPS协议,其实是指HTTP和TLS两种协议的结合。严格来说,HTTPS并不能算是一种协…
我是一个外行。以下只是个人见解。&br&如果先看看这个回答,或许会对理解这场骂战有所帮助。&br&&a href=&/question/& class=&internal&&@奥卡姆剃刀 是谁?如何看待他在微博关于音乐的这段微博?&/a&请看 &a href=&/people/yin-liang-can& class=&internal&&尹两灿&/a& 先生的回答。&br&&br&目睹了两天的混战。(混战之前微博就关注了@奥卡姆剃刀 @yuange1975 @tombkeeper )&br&其中最初的争议就在下图的下划线处&br&&img src=&/9cb5219a5fde4_b.jpg& data-rawwidth=&601& data-rawheight=&481& class=&origin_image zh-lightbox-thumb& width=&601& data-original=&/9cb5219a5fde4_r.jpg&&如果就单从红线处看,&b&@奥卡姆剃刀的结论的后半句是站不住脚的&/b&。内行人士可以通过各种方法获取账户和密码,具体方法我也不太懂。&br&&br&之后@yuange1975评论了@奥卡姆剃刀的微博,指出其结论不正确实现方法很单。@奥卡姆剃刀约架@yuange1975,被回绝。&br&&img src=&/8ea565a7fde810e5ca88_b.jpg& data-rawwidth=&584& data-rawheight=&289& class=&origin_image zh-lightbox-thumb& width=&584& data-original=&/8ea565a7fde810e5ca88_r.jpg&&&b&到这里,双方做的都不算出格。&/b&双方都没有对对方采用的方式加以限制,这也就为后来的混战埋下了伏笔。&br&&br&@被吊打的redrain发话,&b&语言略有挑衅&/b&。@奥卡姆剃刀约战。结果还是没约成。&br&&img src=&/a30f300f617c3b9f2214bb7_b.jpg& data-rawwidth=&584& data-rawheight=&227& class=&origin_image zh-lightbox-thumb& width=&584& data-original=&/a30f300f617c3b9f2214bb7_r.jpg&&&br&@王思聪第一次说话。&b&建议不错。&/b&&br&&img src=&/d09adabd8637b9dbb84435_b.jpg& data-rawwidth=&594& data-rawheight=&304& class=&origin_image zh-lightbox-thumb& width=&594& data-original=&/d09adabd8637b9dbb84435_r.jpg&&&br&@王思聪 第二次说话,开始攻击@奥卡姆剃刀。&b&做得不对。&/b&&br&&b&@奥卡姆剃刀开始第一次升级自己的条件。这时与最初观点已有不同。&/b&&br&&b&&img src=&/a95f5cade8a6_b.jpg& data-rawwidth=&596& data-rawheight=&289& class=&origin_image zh-lightbox-thumb& width=&596& data-original=&/a95f5cade8a6_r.jpg&&@&/b&奥卡姆剃刀 艾特@周鸿祎。&b&@周鸿祎给他解释了通过钓鱼的方式,@奥卡姆剃刀第二次升级条件。&/b&&br&&b&&img src=&/206cd4e9a8ea84002ebbca10b624ecda_b.jpg& data-rawwidth=&594& data-rawheight=&421& class=&origin_image zh-lightbox-thumb& width=&594& data-original=&/206cd4e9a8ea84002ebbca10b624ecda_r.jpg&&**********************************到这里,@奥卡姆剃刀已经败了**************************************&/b&&br&之后&b&@奥卡姆剃刀又发表了一些言论,这些言论已经不怎么正常了,自以为是的性格完全暴露,而且这些言论彻底惹怒了安全界的人士,并导致了第二天的混战。&/b&&br&&img src=&/dd8ec85ab837c3979790ebc_b.jpg& data-rawwidth=&580& data-rawheight=&363& class=&origin_image zh-lightbox-thumb& width=&580& data-original=&/dd8ec85ab837c3979790ebc_r.jpg&&&img src=&/bbadd26aea2fd25bb7e8001_b.jpg& data-rawwidth=&592& data-rawheight=&403& class=&origin_image zh-lightbox-thumb& width=&592& data-original=&/bbadd26aea2fd25bb7e8001_r.jpg&&&img src=&/05e558cc3a_b.jpg& data-rawwidth=&586& data-rawheight=&369& class=&origin_image zh-lightbox-thumb& width=&586& data-original=&/05e558cc3a_r.jpg&&&img src=&/bd74dd03ed892_b.jpg& data-rawwidth=&591& data-rawheight=&365& class=&origin_image zh-lightbox-thumb& width=&591& data-original=&/bd74dd03ed892_r.jpg&&&br&&br&&b&这时的@奥卡姆剃刀已经不理智了。ps:该微博已被删除。&/b&&br&更新&br&此微博为@奥卡姆剃刀的气话,其在发布后迅速删除,他在之后的微博也反复提到。请不要过分关注下图。我发此图只是为了还原当时的情况,并无恶意。&br&&img src=&/1d66ae1a5ae0_b.jpg& data-rawwidth=&440& data-rawheight=&423& class=&origin_image zh-lightbox-thumb& width=&440& data-original=&/1d66ae1a5ae0_r.jpg&&&br&&br&&br&&br&&b&评价:在该混战中,@奥卡姆剃刀败,众安全人士赢。@王思聪和@周鸿祎属于打酱油。央视的报道不是制造恐怖气氛,而是给大家提个醒。@奥卡姆剃刀一开始的质疑可以理解,之后的言论很不妥当。众安全人士则在国庆期间过得不再那么无聊。&/b&&br&&br&&br&最后献上 @tombkeeper的两个微博,希望每个人都仔细体会。&br&&img src=&/b8ad106e7f_b.jpg& data-rawwidth=&582& data-rawheight=&249& class=&origin_image zh-lightbox-thumb& width=&582& data-original=&/b8ad106e7f_r.jpg&&&img src=&/edbcb75d2a_b.jpg& data-rawwidth=&588& data-rawheight=&234& class=&origin_image zh-lightbox-thumb& width=&588& data-original=&/edbcb75d2a_r.jpg&&
我是一个外行。以下只是个人见解。 如果先看看这个回答,或许会对理解这场骂战有所帮助。 请看
先生的回答。 目睹了两天的混战。(混战之前微博就关注了@奥卡姆剃刀 @yuange1975 @tombkeeper…
12306的HTTPS页面之所以划红线,技术原因有两点:&br&1,根证书不被操作系统信任,需要按照网站提示安装根证书,使操作系统信任这个根证书。&br&&img src=&/69ffde0aea1f0ee37c438da51d9c2263_b.png& data-rawwidth=&453& data-rawheight=&189& class=&origin_image zh-lightbox-thumb& width=&453& data-original=&/69ffde0aea1f0ee37c438da51d9c2263_r.png&&&br&2,按照步骤安装好证书后,系统已经信任这个证书了,但是使用chrome等较新的浏览器还会显示红叉,这是由于12306的根证书使用了不安全的sha1算法。只有12306网站升级到sha256算法后才能消除这个红叉。&br&&img src=&/da75ce60c70ad19ce2f99360_b.png& data-rawwidth=&373& data-rawheight=&273& class=&content_image& width=&373&&&br&12306为什么不使用知名CA的证书,这样就不会出现上述的红叉了。我也考虑过两点:&br&1,为了省钱。可是一张最贵的证书也就1年1万出头,这对于交易量在全世界也能排名前列的网站来说显然是九牛一毛,所以肯定不是经济成本的原因。&br&2,为了安全。因为现在的知名CA大多是国外特别是美国的,所以有莫名的担心。其实CA只是提供了证书,这个证书只用于用户登陆的网站身份验证,用户登陆之后的传输数据跟CA没有任何关系。另外中国几乎全部银行,知名网站都是使用的国外知名CA的证书,如果不安全,银行是不是早就出问题了?所以也不应该是安全的原因。&br&&br&所以我认为的最深层的原因是:&b&国有&/b&&b&垄断单位对用户体验和安全的无视&/b&。我就是有红叉了,就是有安全隐患了,你能奈我何?你还不是只能到我这才能买票?呵呵 ,我们没有任何办法。&br&前面提到的国有银行其实也一幅德性,我的网银就是只支持IE,就是又卡又慢了,有本事你用其他银行的啊?呵呵,幸好我们有其他选择,所以我们要感谢支付宝,要感谢招商银行等非国有银行。然后我们也惊喜地发现,那些银行的网银也在慢慢地变好。&br&&b&所以只有公平竞争,只有让用户有更多选择,才能彻底消除这样的红叉!&/b&
12306的HTTPS页面之所以划红线,技术原因有两点: 1,根证书不被操作系统信任,需要按照网站提示安装根证书,使操作系统信任这个根证书。 2,按照步骤安装好证书后,系统已经信任这个证书了,但是使用chrome等较新的浏览器还会显示红叉,这是由于12306的根…
的记得小时候,敞篷卡车从果园拉着一车车的苹果,运到码头上,然后再装载到万吨货轮上运往上海。但运往码头的最后一公里,道路坑坑洼洼,卡车会放慢速度,这时就会有一些青少年爬上货车,从袋子里拿苹果吃,每次都会有一袋或几袋被开包,为此运输公司非常苦恼。&br&&img data-rawwidth=&350& data-rawheight=&262& src=&/v2-bdcc695faf7d336f16224b4_b.jpg& class=&content_image& width=&350&&&br&&br&&br&后来为了减少损失,运输公司使用了封闭的集装箱,装载好苹果再将车厢锁起来,到达目的地再打开,这样即使有人想从车厢里拿苹果,也无从下手。&br&&img data-rawwidth=&600& data-rawheight=&390& src=&/v2-a6af0fbf06aa21fdaec7869dba0adff0_b.jpg& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/v2-a6af0fbf06aa21fdaec7869dba0adff0_r.jpg&&&br&&br&以上敞篷卡车所对应的就是&b&TCP&/b&,苹果对应的是&b&HTTP&/b&,由于敞篷卡车无法保证在传输路途上,苹果是否被窃取、调包、所以最终有多少货物到达目的地,那完全要看坏小子的心情,如果坏小子只是插入一些广告,用户的浏览器最多弹出一些广告页面。&br&&br&更甚一步,窃取用户cookie,登录用户账户做非法的勾当。还可以通过明文http植入木马,可以远程控制用户电脑,窃取用户敏感信息。&br&&br&集装箱代表&b&TCP + TLS(Transport Layer Security)&/b&,从果园运输的十吨苹果能够原封不动地到达目的地,既不会多也不会少。&br&&br&&b&明文HTTP让坏人有机可乘&/b&&br&为了实现网络的高度安全,需要很多环节协同工作,只要有一个环节有漏洞,就有可能被利用,而为了提高网络的相对安全性,最高优先级就应该从HTTP下手,因为这个用户使用的最频繁。&br&&br&目前几乎所有的个人电脑都处于路由器NAT保护之下,如果用户不主动访问Internet,别人无从对NAT后个人电脑下手。&br&&br&一旦用户主动访问Internet,就相当于在NAT城门上啄了一个小洞,这个小洞就是一个NAT映射表,如果没有流量刷新,300秒之后小洞就会关闭。&br&在&b&小洞存活的300秒以内,允许外部主机来访问个人电脑,而明文的HTTP就是最好的载体。&/b&一旦个人电脑被植入了木马,木马程序就会主动周期性发消息给Internet的控制终端,这样NAT小洞会一直敞开大门&b&(周期性消息刷新定时器)&/b&,给远程控制提供了便利。&br&&br&&b&HTTPS提供了端到端的安全加密&/b&&br&不仅提供&b&数据机密性(加密)&/b&,还提供&b&数据完整性(不篡改数据)保护&/b&、&b&防重放(把捕获的报文再发一次无效)&/b&,这样坏小子就很难下手,没有session key 很难去偷窥并篡改用户的数据,更无法依赖HTTPS这个载体植入木马。&br&&br&一定有同学会有疑问,为何明文传输的HTTP可以被劫持,篡改网页内容,而加密传输的HTTPS却不可以?&br&&br&那是因为HTTP被劫持篡改页面,重新计算TCP checksum,用户电脑是无法判别是否被篡改,只好被动接收。&br&&br&而加密传输之后,有了HMAC保护,任何篡改页面的尝试,由于没有session key,无法计算出和篡改网页一致的HMAC,所以&b&数据接收端的SSL/TLS会轻易地识别出网页已被篡改,然后丢弃&/b&,既然无法劫持,也就没有篡改的冲动了,所以HTTPS可以很好地对付网页劫持。&br&&br&&b&HTTPS并不是100%绝对可靠&/b&&br&斯诺登暴露出,针对IPsec,TLS的密钥交换所依赖的Diffie-Hellman算法攻击,即通过离线的超级计算机预先计算出海量的公钥、私钥对,一旦尝试出私钥就会得到Master Key,进而推导出session key,这样历史数据、现在、将来的数据全可以解密。&br&&br&以上是被动攻击方式,针对数字证书欺骗则属于主动攻击,可以实时地解密用户数据。但种种主、被动攻击难度都很高,往往是以国家意志为源动力,而不是一些小团体所能完成的。&br&&br&有读者肯定会心生疑惑,既然HTTPS不是绝对可靠,那依靠HTTPS工作的网银安全吗?安全,请放心使用,因为银行这个场子是国家开的,自然不会自己砸自己的场子。&br&&br&电脑网银用户一般都有一个USB Token,里面有&b&用户数字证书私钥(Private Key)&/b&,网银转账一定要有用户&b&数字证书私钥&/b&签名的转账确认,而这个私钥只有用户的Token唯一拥有,而银行拥有用户&b&数字证书公钥(Public Key)&/b&,可以成功解密出用户私钥(Private Key)签名的转账确认,以此确信&b&转账指令&/b&是由拥有USB Token的用户发出来的,这样会进一步提高网银的安全性。&br&&br&手机银行一般都是APP,可以强制使用&b&(Public Key Pinning )&/b&特定根证书作为证书信任链的顶端,可以避免客户端使用&b&误安装的伪造证书&/b&,所以APP不会与假的服务器建立TLS连接,只会与真正的服务器建立安全隧道,一旦隧道成功建立,通信就是安全的,即使转账也是安全的。当然如果转账之前通过手机短消息确认,那安全性基本上就无懈可击了。
的记得小时候,敞篷卡车从果园拉着一车车的苹果,运到码头上,然后再装载到万吨货轮上运往上海。但运往码头的最后一公里,道路坑坑洼洼,卡车会放慢速度,这时就会有一些青少年爬上货车,从袋子里拿苹果吃,每次都会有一袋或几袋被开包,为此运输公司非常苦…
&p&接上回,马老板让手下阴差阳错买了肯德基,这次又想买点东西,但难以启齿,所以悄悄给手下耳语了一番,手下连连称是,并狂拍胸脯口出豪言:马总,放心,这事包在我身上,一定出色完成任务!&/p&&p&手下打开浏览器输入:https://某宝.com,敲回车键,接下来发生一连串的连锁反应。&/p&&p&&b&第一步:&/b&浏览器与某宝建立TCP连接&/p&&p&&b&第二步:&/b&服务器会弹出一个页面提醒安装数字证书,如果不安装,接下来一切都不会顺利进行&/p&&p&&b&第三步:&/b&浏览器需要认证某宝是真实的服务器(不是山寨的),服务器发来了自己的&b&数字证书&/b&。&/p&&p&&b&插一句:某宝的数字证书从哪里来?&/b&&/p&&p&某宝自己的认证中心简称&b&CA(Certificate Authority)&/b&,CA给某宝颁发了一个证书,这个证书有:&/p&&p&签发者&/p&&p&证书用途&/p&&p&某宝的公钥&/p&&p&某宝的加密算法&/p&&p&某宝用的HASH算法&/p&&p&证书的到期时间等}
我是北京联通用户,就在前些天(),一次在网上查资料的时候,我打开了一个百度知道的页面,一个巨幅广告映入眼帘,登时吓尿我了,如下左图&/p&&img src=&/7f13cfb295fbccb_b.png& class=&content_image&&&br&&p&
当时我第一反应是好奇地点开广告,看看到底是什么情况(我甚至有开通的冲动= =),直到确认开通的前一步,它居然都不要求服务密码、手机验证码、也不需要输个人信息什么的——单纯点击就能开通,我就意识到这不是一般的网页广告。既然不要求验证码之类的东西,这说明:&/p&&p&1.
肯定能确认我的身份&/p&&p&2.
不太可能是第三方的诈骗广告&/p&&p&之后使用隐身模式访问相同网页,还是有这个广告,说明不是基于cookies的广告。&/p&&p&我就想这可能是运营商在进行&a href=&///?target=http%3A///p/eff& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&流量劫持&i class=&icon-external&&&/i&&/a&。&/p&&p&
于是就打开了移动版Chrome自带的&a href=&///?target=http%3A///archives/4185.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&流量节省功能&i class=&icon-external&&&/i&&/a&,然后打开相同网页,发现原来的“巨幅”广告消失了:如上右图。使用全局VPN访问该网页亦是如此。&/p&&p&
一般流量劫持是不能对使用&a href=&///?target=http%3A///view/14121.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&https&i class=&icon-external&&&/i&&/a&或者其他加密手段的网页浏览起作用的(比如通过VPN访问),除非是&a href=&///?target=http%3A///view/1531871.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&中间人攻击&i class=&icon-external&&&/i&&/a&,这个情况还是比较罕见的,尤其是对手机来说(因为不能随意安装证书嘛)。&/p&&p&然后我想肯定不是只对百度知道插入广告,于是在关闭Chrome流量节省功能和VPN测试了其它网页,发现启用https的网站都没有广告,而部分其它明文网页——海淘、有道词典——也发现了相同广告。如图&/p&&img src=&/2feeba60fc7ad7d2a3750_b.png& class=&content_image&&&br&&p&&i&
插两句题外话...https是多么重要,机智的度娘今年年初强制重定向至https页面,不过貌似度娘对https网页的检索有一些困难,又由于成本问题,国内许多知名网站都没用https,但是某最大邮箱还在用http的行为确实有点吓人&/i&&/p&&p&
BTW,这样一来情况就明了了,就是中国联通在搞流量劫持,WTF!以前用电信宽带时电脑打开网页就经常出现这类广告,没想到现在开始对移动数据也用这一套。&/p&&p&附上对这个广告的内容的详细截图&/p&&img src=&/130d94ade8b0_b.png& class=&content_image&&&br&&p&于是我上网搜索这类问题的处理办法,找到了:&/p&&p&1.
&a href=&///?target=https%3A///t/197767& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&投诉联通在手机网页插广告,意外获赔 30 元话费&i class=&icon-external&&&/i&&/a&&/p&&p&2.
&a href=&///?target=http%3A///group/topic//& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&教你怎样投诉中国移动、中国联通、中国电信&i class=&icon-external&&&/i&&/a&&/p&&p&然后开始了投诉之路...以下是对过程的简要描述,有删节&/p&&p&================================================================&/p&&p&
首先我打10010向人工客服投诉,对方说向上级反映然后就啪一下挂我电话了,态度很渣,当时我是很不爽的。然后过了半天才来一个电话,问了我两句,我又重复了一遍中午说过的,然后对面又啪一下挂了。(联通的客服也真是够叼,怪不得用9号键的智能人工客服取代了0号键的人工服务)&/p&&p&
第二天回我电话,内容主要为:&/p&&p&1.
中国联通不知道广告是怎么回事,无法处理我&/p&&p&2.
建议我检查一下我的手机,或者向手机售后请求帮助&/p&&p&总结一下就是——“老子不想鸟你!”&/p&&p&
于是我挂了电话,默默地打开了&a href=&///?target=http%3A//www.%3A8080/cms/shensus/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&工信部申诉的页面&i class=&icon-external&&&/i&&/a&(经此一役,我深深的感受到工信部的强大,专治流氓,T^T,感动ing),填好表之后,另用一封邮件将我的手机截图发到了受理申诉的邮箱accept@。我的申诉内容也顺便粘贴到了邮件里,邮件内容如图:&/p&&img src=&/93b9e5c4db9a58ba144a4086eda07af6_b.png& class=&content_image&&&br&&p&
过了不久联通就给我回电话了,号码不是10010而是010 (据我调查了解这是联通专门处理工信部投诉的),跟我确认了一遍具体情况之后就挂电话了。&/p&&p&然后10010又来电话和我谈判,主要内容是:&/p&&p&
这回他们终于肯认账了,承认这就是他们恶意植入的广告(当然他们用了更委婉的措辞),我提出两个条件:&/p&&p&1.
赔偿我300元话费(开始是要中国联通的书面道歉信的,其实我清楚是要不到的,纯粹恶心他们一下)&/p&&p&2.
立即停止这种向用户浏览的网页中插入广告的行为&/p&&p&
对方死活不同意第二条,反复声明:&/p&&p&1.
已经停止向我发广告,并以加入屏蔽名单&/p&&p&2.
他们不能决定这项业务是否关闭&/p&&p&
我坚持不妥协&/p&&p&
后来中国联通方面再次回我电话,这次是一个自称是项目经理的人,&i&&b&最后和我达成口头协议:不会关闭这项(流氓)业务,但会在用户知情并同意之后再对用户进行“沃助手”业务(流量劫持)。通话最后我警告“我不想在今后从亲友或同学那里听说他们收到此类广告”&/b&&/i&&/p&&p&当天下午我收到300元话费。&/p&&p&至此,时长五天的申诉就结束了。&/p&&p&================================================================&/p&&p&
后来过几天我想了想,我还是太年轻了,不应该那么轻易就妥协的,因为我查到了这个:&/p&&p&&a href=&///?target=http%3A///news/9511.shtml& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&流量劫持首次被认定为犯罪&i class=&icon-external&&&/i&&/a&&/p&&p&
经我不靠谱的分析...中国联通的这种行为:&/p&&p&
篡改网页内容,侵害用户与第三方网站的权利&/p&&p&
窃听用户通信(因为需要鉴别https与http,而且对于http连接,只在部分网页插入广告),侵犯用户隐私与通信自由&/p&&p&
违反用户与中国联通在购买手机卡时签订的协议&/p&&p&我想部分被坑群众还是需要参考资料的,于是我觉得应该把我的经历写出来供大家参考,前两天因为有考试(苦逼的学生党)就没在印象最深的时候及时写出来。&/p&&p&依我小人之心的揣度,联通的这种行径是不会停止的,大多数人缺少计算机网络方面的知识,还是会默默中招。而且据我身边同学的反映,中国移动也存在相同的流氓行径,不知道中国电信怎么样。大家对运营商的恶霸行为不能忍气吞声,一定勇敢维护自己的权益,工信部还是很叼的。。。&/p&&p&希望我写的这个能对你们有一些帮助。&/p&&p&--------------------------------------------------------------------------------------------------------------------------------------------&/p&&p&
其实这个是一个星期前写的,那个时候是想贴到知乎上来的,然而怎么都发不出去,答案涉嫌违规被删除。我检查了两三遍都没发现什么问题,超链接都是墙内的。我勒个去,气死我了。&/p&&p&
应该是开始图片引用来源有问题,现在我上传图片之后就好了……&/p&&p&
就在昨天,运营商因为此类事情被&b&今日头条、美团大众点评网、360、腾讯、微博、小米科技&/b&联合责问:&/p&&p&&a href=&///?target=http%3A///a/098.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&六家互联网公司发声明 抵制流量劫持等违法行为&i class=&icon-external&&&/i&&/a&&/p&&p&&a href=&///?target=http%3A//e./docs/99//BBN45LCK00963VRO.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&6家公司抵制运营商流量劫持&i class=&icon-external&&&/i&&/a&&/p&&p&—————————————————————————————————————&/p&&p&更新1&/p&&p&
收到好多赞呐!今天搜东西的时候打开了一个知乎的链接,发现有几百条未读消息,有点小激动。然后对文章几个语法或标点有问题的地方改了一下下。希望能让更多人看到,并对他们有帮助!&/p&&p&
有问题可以邮件联系,邮箱地址在最后一张截图里 ^_^&/p&&p&&b&
投诉小技巧&/b&:抓住主要矛盾,分析这种行为的错误之处(我回答里应该写详细了,而且最近又有六大互联网公司的公开信)。话费是对个人的赔偿,干扰网页浏览,精神损失费,浪费时间精力投诉啊什么的;要求关停这项业务是对整体客户的赔偿(这是主要矛盾)。希望大家不要只奔着话费去,而是要把维护我等消费者的权益作为出发点。索赔只是手段,迫使运营商关停这种流氓业务才是真正目的。&/p&&p&—————————————————————————————————————&/p&&p&更新2&/p&&br&&p&要先向运营商投诉,无法解决才能向工信部发起投诉,不然工信部也不会理你的。&/p&&p&&i&&b&向工信部投诉之前希望大家对运营商(客服妹子or汉子)发出警告——“再敷衍我我可就要向工信部申诉啦!”&/b&&/i&&/p&&p&&i&&b&因为有用户的电话记录,用户越级投诉到工信部,话务员没通知到相关后台就是扣kpi,所以会伤到一些无辜的客服。爪下留情啊。&/b&&/i&&/p&&p&&b&&i&============================================================&/i&&/b&&/p&&p&更新&/p&&p&5月6号,我的一张联通上网卡出现同样问题。&/p&&p&我这次要完成去年的遗憾,投诉时坚持让中国联通关停这项“沃助手”业务,这种因利乘便,坑害消费者的业务。当然并不知道结果会怎样,也许工信部对电信部门的压力是有限的。&/p&&p&这次我除了截屏,还想看一下网页源代码,看一下联通是怎么插的广告,于是在移动版chrome上使用view-source查看“百度知道”网页源代码,在开/关VPN的情况下分别保存。但是对比过后发现两个网页的源码是一模一样的。(view-source:&a href=&///?target=http%3A//& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&/&i class=&icon-external&&&/i&&/a&在中国联通的流量劫持的白名单里?)&/p&&p&我也不清楚是什么原因,但是没关系,我用手机给电脑开热点,用桌面版的Chrome切换到移动端模式后访问&a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&,于是在网页上也出现了联通的“流量球”,然后我把网页保存下来了。如图:&a href=&///?target=https%3A//hosting-/.png& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&hosting-&/span&&span class=&invisible&&/.png&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&img src=&/v2-2a4bef83beb3_b.png& class=&content_image&&&br&&p&上面的截图是今天打开“保存的网页”截的,Javascript来自114.247.28.96,属于中国联通的IP。&/p&&p&保存的网页文件在这:&a href=&///?target=https%3A///drive/folders/0B9dZgEEUGnbjYmdnZ0dtSXJuRlk%3Fusp%3Dsharing& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&/drive/&/span&&span class=&invisible&&folders/0B9dZgEEUGnbjYmdnZ0dtSXJuRlk?usp=sharing&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&p&这次拨打10010投诉时,我按了5,语音提示“投诉请按1,建议请按2”,我按了1,居然返回的语音提示是“您的上网流量使用详情已通过短信发送至您的手机”,然后回到了最初的“xx请按1,xx请按2...智能人工客服请按9”!&/p&&p&于是我使用通话录音,又打了一遍,把这个录下来了。然后直接向工信部投诉。网页提交申诉表后,用一封邮件把详细说明和附件发了过去。邮件内容如下:&/p&&p&这次我坚持让中国联通关闭这项业务,今天已经下午向客服说清楚了,至于最后是否能关闭,就看工信部够不够叼了。&/p&&p&—————————————————————————————————————&/p&&br&&p&省去中间的废话。&/p&&p&5月10日。中国联通表态是,拒绝我的要求,并声称它的行为不是流量劫持。还说已经咨询过律师,这种行为完全合法。&/p&&p&这么无耻竟让我&无语凝噎&。&/p&&p&搜集了一大堆文章~&论流量劫持&,明天或后天接着向工信部投诉。&/p&&p&~&/p&&p&&a href=&///?target=http%3A///p/eff& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/p/eff9553c8&/span&&span class=&invisible&&b64&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&br&&p&&a href=&///?target=http%3A//drops.wooyun.org/tips/13661& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&drops.wooyun.org/tips/1&/span&&span class=&invisible&&3661&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&br&&p&&a href=&///?target=http%3A//.cn/pcarticle/125609& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&.cn/pcarticle&/span&&span class=&invisible&&/125609&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&br&&p&&a href=&///?target=http%3A///m/sh//7615761.shtml& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/m/sh/2015&/span&&span class=&invisible&&/11-10/7615761.shtml&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&br&&p&《刑法》第286条规定,“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,处五年以下有期徒刑或者拘役,后果特别严重的,处五年以上有期徒刑。”&/p&&br&&p&~&/p&&p&&/p&&p&然并卵,向工信部反复投诉也没用,中国联通就是拒绝。&/p&
下面用我的亲身经历来说说如何打击运营商在网页中恶意植入广告的这种流氓行为。 我是北京联通用户,就在前些天(),一次在网上查资料的时候,我打开了一个百度知道的页面,一个巨幅广告映入眼帘,登时吓尿我了,如下左图 当时我第一反应是好奇地…
https其实就是建构在SSL/TLS之上的 http协议,所以要比较https比http多用多少服务器资源,主要看SSL/TLS本身消耗多少服务器资源。&br&&br&http使用TCP 三次握手建立连接,客户端和服务器需要交换3个包,https除了 TCP 的三个包,还要加上 ssl握手需要的9个包,所以一共是12个包。http 建立连接,按照下面链接中针对&a href=&///?target=http%3A//www.csh.rit.edu& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Computer Science House&i class=&icon-external&&&/i&&/a&的测试,是114毫秒;https建立连接,耗费436毫秒。ssl 部分花费322毫秒,包括网络延时和ssl 本身加解密的开销(服务器根据客户端的信息确定是否需要生成新的主密钥;服务器回复该主密钥,并返回给客户端一个用主密钥认证的信息;服务器向客户端请求数字签名和公开密钥)。&br&&a href=&///?target=http%3A///blog/geekery/ssl-latency.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&SSL handshake latency and HTTPS optimizations. :: &i class=&icon-external&&&/i&&/a&&br&当SSL 连接建立后,之后的加密方式就变成了3DES等对于 CPU 负荷较轻的对称加密方式。相对前面 SSL 建立连接时的非对称加密方式,对称加密方式对 CPU 的负荷基本可以忽略不记,所以问题就来了,如果频繁的重建 ssl 的session,对于服务器性能的影响将会是致命的,尽管打开https 保活可以缓解单个连接的性能问题,但是对于并发访问用户数极多的大型网站,基于负荷分担的独立的SSL termination proxy就显得必不可少了,Web 服务放在SSL termination proxy之后。SSL termination proxy既可以是基于硬件的,譬如F5;也可以是基于软件的,譬如维基百科用到的就是 &a href=&///?target=http%3A//en.wikipedia.org/wiki/Nginx& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Nginx&i class=&icon-external&&&/i&&/a&。&br&&br&那采用 https 后,到底会多用多少服务器资源,2010年1月 Gmail切换到完全使用 https, 前端处理 SSL 机器的CPU 负荷增加不超过1%,每个连接的内存消耗少于20KB,网络流量增加少于2%。由于 Gmail 应该是使用N台服务器分布式处理,所以CPU 负荷的数据并不具有太多的参考意义,每个连接内存消耗和网络流量数据有参考意义。这篇文章中还列出了单核每秒大概处理1500次握手(针对1024-bit 的 RSA),这个数据很有参考意义,具体信息来源的英文网址:&a href=&///?target=https%3A//www.imperialviolet.org//overclocking-ssl.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&ImperialViolet&i class=&icon-external&&&/i&&/a&。&br&&br&Heartbleed这个被称作史上最大的网络安全漏洞,想必很多人都有所耳闻,Heartbleed之所以能够出现,其实和我们这个问题关系还不小,前面我们谈到了频繁重建 SSL/TLS的session对于服务器影响是致命的,所以聪明的RFC 在2012年提出了 RFC6520 TLS 的心跳扩展。这个协议本身是简单和完美的,通过在客户端和服务器之间来回发送心跳的请求和应答,保活 TLS session,减少重建 TLS的session的性能开销。令人遗憾的是,openssl 在实现这个心跳扩展时,犯了一个低级的错误,没有对收到的心跳请求进行长度检查,直接根据心跳请求长度拷贝数据区,导致简单的心跳应答中可能包含了服务器端的核心数据区内容,用户名,密码,信用卡信息,甚至服务器的私有密钥都有可能泄露。心因为心跳保活的这个 BUG 在滴血,这个名字起的极度形象。&br&&br&下面开始讲一个无聊的故事,和问题关系不大,时间紧张的看官可以到此为止了。&br&&br&从前山上有座庙,庙里有个和尚......,别胡闹了,老和尚来了。&br&&br&小和尚问老和尚:ssl为什么会让http安全?&br&&br&老和尚答道:譬如你我都有一个同样的密码,我发信给你时用这个密码加密,你收到我发的信,用这个密码解密,就能知道我信的内容,其他的闲杂人等,就算偷偷拿到了信,由于不知道这个密码,也只能望信兴叹,这个密码就叫做对称密码。ssl使用对称密码对http内容进行加解密,所以让http安全了,常用的加解密算法主要有3DES和AES等。&br&&br&小和尚摸摸脑袋问老和尚:师傅,如果我们两人选择“和尚”作为密码,再创造一个和尚算法,我们俩之间的通信不就高枕无忧了?&br&&br&老和尚当头给了小和尚一戒尺:那我要给山下的小花写情书,还得用“和尚”这个密码不成?想了想又给了小和尚一戒尺:虽然我们是和尚,不是码农,也不能自己造轮子,当初一堆牛人码农造出了Wifi的安全算法WEP,后来发现是一绣花枕头,在安全界传为笑谈;况且小花只知道3DES和AES,哪知道和尚算法?&br&&br&小和尚问到:那师傅何解?&br&&br&老和尚:我和小花只要知道每封信的密码,就可以读到对方加密的信件,关键是我们互相之间怎么知道这个对称密码。你说,我要是将密码写封信给她,信被别人偷了,那大家不都知道我们的密码了,也就能够读懂我们情书了。不过还是有解的,这里我用到了江湖中秘传的非对称密码。我现在手头有两个密码,一个叫“公钥”,一个叫“私钥”,公钥发布到了江湖上,好多人都知道,私钥嘛,江湖上只有我一个人知道;这两个密钥有数学相关性,就是说用公钥加密的信件,可以用私钥解开,但是用公钥却解不开。公钥小花是知道的,她每次给我写信,都要我的公钥加密她的对称密码,单独写一张密码纸,然后用她的对称密码加密她的信件,这样我用我的私钥可以解出这个对称密码,再用这个对称密码来解密她的信件。&br&&br&老和尚顿了顿:可惜她用的对称密码老是“和尚为什么写情书”这一类,所以我每次解开密码纸时总是怅然若失,其实我钟意的对称密码是诸如“风花”“雪月”什么的,最头痛的是,我还不得不用“和尚为什么写情书”这个密码来加密我给小花回的情书,人世间最痛苦的事莫过于如此。可我哪里知道,其实有人比我更痛苦。山下的张屠夫,暗恋小花很多年,看着我们鸿雁传书,心中很不是滋味,主动毛遂自荐代替香客给我们送信。在他第一次给小花送信时,就给了小花他自己的公钥,谎称是我公钥刚刚更新了,小花信以为真,之后的信件对称密码都用张屠夫的这个公钥加密了,张屠夫拿到回信后,用他自己的私钥解开了小花的对称密码,然后用这个对称密码,不仅能够看到了小花信件的所有内容,还能使用这个密码伪造小花给我写信,同时还能用他的私钥加密给小花的信件。渐渐我发现信件变味了,尽管心生疑惑,但是没有确切的证据,一次我写信问小花第一次使用的对称密码,回信中“和尚为什么写情书”赫然在列,于是我的疑惑稍稍减轻。直到有一次去拜会嵩山少林寺老方丈才顿悟,原来由于我的公钥没有火印,任何人都可以伪造一份公钥宣称是我的,这样这个人即能读到别人写给我的信,也能伪造别人给我写信,同样也能读到我的回信,也能伪造我给别人的回信,这种邪门武功江湖上称之“Man-in-the-middle attack”。唯一的破解就是使用嵩山少林寺的火印,这个火印可有讲究了,需要将我的公钥及个人在江湖地位提交给18罗汉委员会,他们会根据我的这些信息使用委员会私钥进行数字签名,签名的信息凸现在火印上,有火印的公钥真实性在江湖上无人质疑,要知道18罗汉可是无人敢得罪的。&br&&br&小和尚问:那然后呢?&br&&br&老和尚:从嵩山少林寺回山上寺庙时,我将有火印的公钥亲自给小花送去,可是之后再也没有收到小花的来信。过了一年才知道,其实小花还是给我写过信的,当时信确实是用有火印的公钥加密,张屠夫拿到信后,由于不知道我的私钥,解不开小花的密码信,所以一怒之下将信件全部烧毁了。也由于张屠夫无法知道小花的对称密码而无法回信,小花发出几封信后石沉大海,也心生疑惑,到处打听我的近况。这下张屠夫急了,他使用我发布的公钥,仿照小花的语气,给我发来一封信。拿到信时我就觉得奇怪,信纸上怎么有一股猪油的味道,结尾竟然还关切的询问我的私钥。情知有诈,我思量无论如何要找到办法让我知道来的信是否真是小花所写。后来竟然让我想到了办法....&br&&br&老和尚摸着光头说:这头发可不是白掉的,我托香客给小花带话,我一切安好,希望她也拥有属于自己的一段幸福,不对,是一对非对称密钥。小花委托小镇美女协会给小花公钥打上火印后,托香客给我送来,这样小花在每次给我写信时,都会在密码纸上贴上一朵小牡丹,牡丹上写上用她自己的私钥加密过的给我的留言,这样我收到自称是小花的信后,我会先抽出密码纸,取下小牡丹,使用小花的公钥解密这段留言,如果解不出来,我会直接将整封信连同密码纸一起扔掉,因为这封信一定不是小花写的,如果能够解出来,这封信才能确信来之于小花,我才仔细的解码阅读。&br&&br&小和尚:难怪听说张屠夫是被活活气死的。您这情书整的,我头都大了,我长大后,有想法直接扯着嗓子对山下喊,也省的这么些麻烦。不过我倒是明白了楼上的话,ssl 握手阶段,就是要解决什么看火印,读牡丹,解密码纸,确实够麻烦的,所以性能瓶颈在这里,一旦双方都知道了对称密码,之后就是行云流水的解码读信阶段了,相对轻松很多。
https其实就是建构在SSL/TLS之上的 http协议,所以要比较https比http多用多少服务器资源,主要看SSL/TLS本身消耗多少服务器资源。 http使用TCP 三次握手建立连接,客户端和服务器需要交换3个包,https除了 TCP 的三个包,还要加上 ssl握手需要的9个包,所以…
其实最近我也在某网站的开发组内讨论应用全站https事宜。&br&其原因非常简单。&br&&br&&b&因为不断接到用户投诉说网站上出现影响浏览体验的大面积广告。&/b&&br&可是网站平常只针对未登录用户在顶栏和底栏打两小条广告。而且这种露骨的广告。。。。。。&br&&br&一看就是当地运营商干的。&br&强行劫持用户浏览,往里面插入自己的广告。&br&运营商都是大爷,我们不敢惹,以往都是默默忍着,安抚用户说这不是我们投放的广告。引导用户清缓存刷新之类的。&br&&br&应该说积累了这么多年,运营商也不断变本加厉,从原来的右下角小广告到了覆盖页面的全屏广告。大家终于在2015年开始爆发了。我上次在群里聊起这个问题,大家一看换https的价格(证书、加密时的多余计算能力)居然已经低到完全可以接受了,而且还能获得一些多余的好处,比如增强穿墙性能什么的。&br&&br&于是大家一合计,开干吧。然后就默默的开始做整站迁移至https的工作。&br&&br&应该说,使用https成本的下降,尤其是计算成本的下降是2015年https爆发的主要原因,当然这和几个CA纷纷推出超低价证书甚至是免费证书也是分不开的。&br&不过最终导致大家下定决心更换https的导火索就是运营商劫持流量投放广告了。&br&&br&而且随着计算价格的不断下降,https因为加密产生的性能消耗正在被人们逐渐忽略。相反https带来的安全性正在被人们逐渐重视。&br&在未来的几年内,会有越来越多的网站启用https。
其实最近我也在某网站的开发组内讨论应用全站https事宜。 其原因非常简单。 因为不断接到用户投诉说网站上出现影响浏览体验的大面积广告。 可是网站平常只针对未登录用户在顶栏和底栏打两小条广告。而且这种露骨的广告。。。。。。 一看就是当地运营商干的…
&p&在信息安全方面有一个不成文的共识,就是尽可能不要自己造轮子,而是用那些成熟的、经过千锤百炼的轮子。&/p&&p&每个喜好钻研的程序员都免不了冒出这种念头:如果我自己发明出一种不为人知的加密算法,会不会比公开的算法更安全,能避免被破解?比如「用新算法加密http,替代https」。&/p&&br&&p&不会,起码在https这个问题上绝对不可能。&/p&&p&下面来详细解释一下直接加密http数据来替代https会有哪些问题:&/p&&br&&p&第一,&b&性能&/b&问题。这一条最容易理解,浏览器通过http收到加密数据后,需要用javascript来执行解密算法,而https是浏览器原生支持的,两者的性能差距可能高达一到两个数量级。就算所有的安全问题都解决了,也不推荐这么做;&/p&&br&&p&第二就是&b&兼容性&/b&问题了。https其实不是单一算法,而是一系列算法和加密协议的整合。&/p&&p&从早期的SSL3.0一直进化到今天的TLS1.2以及起草中的TLS1.3协议;&/p&&p&密钥交换阶段的RSA、DHE等非对称加密算法;&/p&&p&加密信息传输过程中的AES、3DES等对称加密算法;&/p&&p&验证数据完整性的HMAC-SHA1、HMAC-SHA256等哈希算法;&/p&&p&包括使用中的和被淘汰的,林林总总合计有几十种之多。&/p&&p&而且随着攻击方式的进化和安全性要求的不断提升,新的算法不停加入,旧的算法不停被淘汰。&/p&&p&由于不同客户端和服务器所支持的算法类型有新有旧,所以任何https连接建立之前都要进行协商,选择双方都能支持又足够安全的算法后再进行加密连接。&/p&&p&那么,在客户端和服务端也都要同时维护不断进化的加密算法并进行协商,保证版本兼容性。否则这种加密协议就永远不能推广,只能在少数私有项目中使用。&/p&&br&&p&第三,也是最重要的,我们来看看这种加密的的&b&安全性&/b&如何吧,有多少地方可能被攻破。&/p&&p&我们假设性能不是问题,兼容性也暂不考虑,只讨论安全性。&/p&&p&javascript这种直接暴露源码的语言,就算混淆过也没有什么秘密可言,甚至能直接在浏览器中debug、引入插件、加载外部脚本等。单这点就远不如浏览器这种独立应用程序了,至少对浏览器进行恶意修改和注入的行为理论上是能被杀毒软件拦截的。&/p&&p&那么把外壳的安全也放在一边,仅说加密算法行不行?&/p&&p&先排除掉纯对称加密的方式。因为密钥通过明文传输,无论是预置还是每次更换都难以避免被截获。&/p&&p&那就只好重新造一次SSL/TLS的轮子了,即先通过RSA加密传输对称密钥,再通过此密钥加密往来数据。&/p&&p&但这样依然不行。尽管RSA是非对称算法,能保证加解密过程的安全,但公钥本身的传输仍然是可以被截获并篡改的。正如针对https的中间人攻击一样,如果在握手阶段伪造了公钥,则能够轻易截获之后的所有通信。https防范中间人攻击的方式是CA证书,所有网站证书都通过CA证书体系一级一级信任下来,而根证书是&b&内置于操作系统中&/b&的,需要相当高的权限才能操作(当然不能百分百防范,但已经是很高的安全措施了)。&/p&&p&但如果把整套证书安全机制放在js脚本里执行,那跟原来相比简直是天上地下的差距,毫无安全性可言了。&/p&&br&&p&以上只做了一些简单分析,自己开发的http加密就已经溃不成军。而且结论还建立在代码本身没有缺陷、没有漏洞的情况下。js这种弱类型语言出bug的几率有多高就不用多提了吧?&/p&&br&&p&这并不是说自己造的轮子都毫无价值,出于学习和研究目的而编写算法甚至实现一些框架都是有意义的。但对于正式应用而言,永远是那些公开的、被广泛应用的技术方案更加靠谱。&/p&&p&开发一种不为人知的加密算法就像隐居山林的武术大师,凭想象构建了一套天下无敌的神奇功夫,但不出山则已,一出山就直接被业余散打运动员撂翻在地。只有每天都进行对抗训练,经受各种实战考验,才有可能成为真正的武林高手。&/p&
在信息安全方面有一个不成文的共识,就是尽可能不要自己造轮子,而是用那些成熟的、经过千锤百炼的轮子。每个喜好钻研的程序员都免不了冒出这种念头:如果我自己发明出一种不为人知的加密算法,会不会比公开的算法更安全,能避免被破解?比如「用新算法加密…
奥卡姆剃刀在这个问题上并非完全不懂行,而是彻底的书呆子。&br&&br&先不举复杂的例子,大家都知道的验证码(Captcha Code)这么个东西,就是很多网页输入页面上的一个看起来比较扭曲的字母数字,以防止程序或者爬虫轻易登录或者访问。&br&&br&个中原理足够简单,一般而言也足够防范没有OCR能力的爬虫程序。但是给大家看下&a href=&///?target=http%3A//www.indianrail.gov.in/pnr_Enq.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&印度铁道部网站&i class=&icon-external&&&/i&&/a&上的一个的奇葩实现。&br&&br&&img src=&/a315fd4e6d8f17b5aa82_b.jpg& data-rawwidth=&251& data-rawheight=&134& class=&content_image& width=&251&&不知道大家注意到没,这个验证码实际上不是图片,而是真正的文字,可以选择然后copy/paste的。&br&&br&更搞笑的是,他们把这个值直接包含着网页的源代码里。&br&&br&&img src=&/27f8f79d1edbe196aadacd89_b.jpg& data-rawwidth=&659& data-rawheight=&413& class=&origin_image zh-lightbox-thumb& width=&659& data-original=&/27f8f79d1edbe196aadacd89_r.jpg&&所以这是世界上对爬虫最友好的验证码,而且在印度铁道部网站上挂了至少一年多了都没改。&br&&br&这个例子说明什么呢?&br&&br&&b&就是再好的技术规范也是要人来实现和遵守的,而人当中是有傻B的!&/b&&br&&br&回到剃刀的观点,他认为只要用银行的手机网银客户端,同时使用HTTPS和银行的服务器通讯,那么即便连接黑客搭设的WIFI也是安全的。真的是这样么?&br&&br&HTTPS作为标准本身的确足够安全,但是你能保证在程序中实现这个标准的人或者机构足够靠谱吗?食品国标还足够严格呢,但是三鹿和福喜咋回事?&br&&br&&a href=&/people/virusdefender& class=&internal&&virusdefender&/a&的回答里已经给了一个&a href=&///?target=http%3A///%3Fp%3D208& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&某手机银行被中间人劫持攻击的实际案例&i class=&icon-external&&&/i&&/a&,以及腾讯安全中心的这篇文章 &a href=&///?target=http%3A///index.php/blog/msg/41& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&窃听风暴:Android平台HTTPS窃听嗅探劫持漏洞&i class=&icon-external&&&/i&&/a&。&br&&br&简单的说,就是只要你用这个手机连上了一个黑客开设的公开WIFI,然后打开网银客户端(没错是客户端),因为客户端虽然通过HTTPS访问银行网站,但此时的银行网站完全可能是伪造的(因为WIFI被黑客控制,DNS解析什么的都不在话下),理论上HTTPS协议要求核对网站服务器的数字证书来验明身份,但是,这些客户端的实现代码里忽略了这一步,也就是说证书不对或者过期都没关系,客户端照样连接。&br&&br&接下来就是典型的中间人攻击——黑客伪造的服务器面对网银客户端充当服务器,而同时又冒充客户端访问真正的银行服务器,因为客户端已经相信并接受了虚假的证书,于是用这个假证书中的公钥来对数据进行加密,由于解密用的私钥就在黑客手上,因此这个加密过程对黑客而言是完全透明的。然后黑客程序将数据解密成明文后,进行替换或者伪造等进一步的加工,再和真正银行服务器进行通信,就能干很多事情了。&br&&br&这个原理对于很多安全领域从业者而言其实是常识!为什么呢,因为绝大部分的企业用杀毒软件,都是一个合法的中间人,没错如果你的公司装有企业级杀毒软件,那么你的所有HTTPS请求数据理论上公司都看得到,而且这么做不仅在中国,在美国都是&b&完全合法&/b&的,因为你用公司的电脑和网络,照道理就不该有隐私。&br&&br&作为我此言不虚的旁证,虽然我现在是个做英语教育网站和APP的,但也曾经在趋势科技研发中心打过两三年酱油,亲手做过Proxy端替换证书来对HTTPS数据进行解密然后扫描(病毒什么的)这种完!全!合!法!的事情。安全方面的知识我如今已经是弱不禁风,但是我大体能想象跟剃刀斗嘴那帮大神的水平(下限)——当他们说行的时候,你还是相信比较好。&br&&br&说到底网络环境是很险恶的,大家用盗版操作系统瞎刷来路不明的ROM已经毫无压力(天知道里面会预装什么)了,提醒你不要用公开WIFI,或者至少不要在这种情况下用网银,等于提醒你在一个盗匪横行的街区行走别把钱包拿手上一样,但偏有人站出来说大家别怕法律会保护你的人身财产安全!&br&&br&哎~&br&&br&补充:&br&剃刀老师现身评论,可惜思维又跳跃了一下,我希望他认可自己之前所说“只要用银行的客户端通过HTTPS访问就没有安全风险”这样的科普言论的不严谨之处,目前还没有收到他正面回复。&br&&br&&img src=&/92df73abaf47cdfc9fb33bd5a3b8d8fc_b.jpg& data-rawwidth=&596& data-rawheight=&112& class=&origin_image zh-lightbox-thumb& width=&596& data-original=&/92df73abaf47cdfc9fb33bd5a3b8d8fc_r.jpg&&&img src=&/b841a3cf4db74ceafeec_b.jpg& data-rawwidth=&594& data-rawheight=&134& class=&origin_image zh-lightbox-thumb& width=&594& data-original=&/b841a3cf4db74ceafeec_r.jpg&&
奥卡姆剃刀在这个问题上并非完全不懂行,而是彻底的书呆子。 先不举复杂的例子,大家都知道的验证码(Captcha Code)这么个东西,就是很多网页输入页面上的一个看起来比较扭曲的字母数字,以防止程序或者爬虫轻易登录或者访问。 个中原理足够简单,一般而言也…
&b&谢邀。&/b&&blockquote&刚好这两天想要发布公共号关于这篇文章,“L”告诉你的? 那我就简单的说说(随后同步到公众号和专栏)另外如果有人说有AD或者其他嫌疑,那你就当没看见关闭网页吧,用心去看。&br&&/blockquote&&br&&b&一、背景描述&/b&&br&最近波兰CERT一篇名&Large-scale DNS redirection on home routers for financial theft&为的文章引起我们的注意,原文地址:(&a href=&///?target=https%3A//www.cert.pl/news/8019/langswitch_lang/en& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://www.&/span&&span class=&visible&&cert.pl/news/8019/langs&/span&&span class=&invisible&&witch_lang/en&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&),报告中写到:“很多家用路由器存在未授权的远程修改配置漏洞导致了这次事件的发生。黑客通过在网上银行页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码,最终窃取了用户银行里面的钱。”&br&&br&前两天微信公众号网站安全中心(&i&wangzhan_anquan&/i&)发表消息:近日波兰遭遇大规模DNS劫持攻击,黑客通过修改家用路由器DNS配置从而劫持用户请求,最终窃取了用户银行里的钱!类似DNS劫持手法应该会很快便延伸到国内,危及网民安全。&br&&br&很多朋友收到此消息后给我们留言抛出这样的疑问:&br&&ul&&li&这个和去年的有什么不同?&br&&/li&&li&修改路由器dns劫持,国内已经有好多了,但是没听说过洗钱的。&br&&/li&&li&我只听说过能够dns劫持我的HTTP请求,HTTPS也不安全啊?&br&&/li&&li&More...&br&&/li&&/ul&&br&&img src=&/9b88e71bd8ee539ea4cbf_b.jpg& data-rawwidth=&479& data-rawheight=&467& class=&origin_image zh-lightbox-thumb& width=&479& data-original=&/9b88e71bd8ee539ea4cbf_r.jpg&&&br&更多朋友所不知道的是,HTTPS加密请求也能嗅探到?&br&&br&&b&什么是HTTPS:&/b&&br&HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。句法类同http:体系,用于安全的HTTP数据传输。https:URL表明它使用了HTTPS。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。&br&&br&之所以大家都认为不能嗅探HTTPS请求的原因是来自对加密SSL层的信任,那么黑客是怎么做到的嗅探HTTPS?&br&&br&简单的说黑客为了绕过HTTPS,采用了SSL层剥离的技术,黑客阻止用户和使用HTTPS请求的网站之间建立SSL连接,使用户和代理服务器(攻击者所控服务器)之间使用了未加密的HTTP通信。&br&&br&&b&二、攻击细节&/b&&br&黑客(攻击者)使用了一款工具来实施攻击-SSLStrip,他能够阻止用户和使用HTTPS请求的网站之间建立SSL层连接,进行中间人劫持(类似于&a href=&///?target=http%3A///link%3Furl%3Drtf--S3fUxebvBo6UnNBi9jLPbrwreV6Y6RkfR_hb20GucLgI_-PJqzXofRIBh2H& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&ARP欺骗_百度百科&i class=&icon-external&&&/i&&/a&)。&br&&img src=&/fb3a1ec1a208a2891216bedcf263c3cc_b.jpg& data-rawwidth=&938& data-rawheight=&626& class=&origin_image zh-lightbox-thumb& width=&938& data-original=&/fb3a1ec1a208a2891216bedcf263c3cc_r.jpg&&上面就是我使用sslstrip进行嗅探内网某设备的截图,当然这只是一张图:)&br&&br&&b&SSLStrip的工作原理:&/b&&br&&ol&&li&进行中间人攻击来劫持HTTP请求流量。&br&&/li&&li&将出现的HTTPS链接全部替换为HTTP,同时记录所有改变的链接。&br&&/li&&li&使用HTTP与受害者机器链接。&br&&/li&&li&同时与合法的服务器建立HTTPS。&br&&/li&&li&受害者与合法服务器之间的全部通信请求经过代理(攻击者服务器)转发。&br&&/li&&li&完成劫持请求&br&&/li&&/ol&&br&&b&攻击的流程原理可用下图表示:&/b&&br&&img src=&/3ec57ba8ce87e_b.jpg& data-rawwidth=&718& data-rawheight=&413& class=&origin_image zh-lightbox-thumb& width=&718& data-original=&/3ec57ba8ce87e_r.jpg&&有关波兰遭遇大规模DNS劫持用户网上银行的事件中,因为使用SSLStrip会提醒用户连接没有使用SSL加密,黑客为了迷惑用户,重写了URL,在域名前加了“ssl-.”的前缀,当然这个域名是不存在的,只能在黑客的恶意DNS才能解析。&br&&br&&img src=&/8021efe69ef039cd9eb2_b.jpg& data-rawwidth=&1080& data-rawheight=&436& class=&origin_image zh-lightbox-thumb& width=&1080& data-original=&/8021efe69ef039cd9eb2_r.jpg&&&br&这件事情的源头是因为ZynOS路由器出现漏洞,导致的大批量DNS劫持,有关ZynOS漏洞利用攻击代码已经在Github上有人放出来了,整个流程如下:&br&&ol&&li&攻击者批量劫持用户DNS&br&&/li&&li&重写URL迷惑用户&br&&/li&&li&使用SSLStrip进行请求劫持&br&&/li&&li&完成劫持&br&&/li&&/ol&&br&波兰这次事件主要是黑客利用路由漏洞进行了大范围DNS劫持然后使用sslstrip方法进行&b&嗅探&/b&,这次方法要比之前单纯的DNS劫持有趣的多,当然危害也大的多。&br&&br&&b&解决方案&/b&&br&这种攻击方式马上会在国内展开攻击,这种攻击往往不是基于服务端,特别是SSL Stripping技术,其攻击手法不是针对相应固件也不是利用固件漏洞,所以大家有必要好好看一下解决方案,真正的把DNS防御杜绝在门外!&br&&br&&b&检查DNS是否正常&/b&&br&拿TP-Link举例,浏览器访问192.168.1.1(一般是这个,除非你改了),输入账号密码登陆(默认账号密码在说明书上都有)-& 网络参数-& WAN口设置-& 高级设置-& 看看里面DNS的IP是否勾选了“手动设置DNS服务器”。&br&&br&&blockquote&* 如果你没有人工设置过,但勾选了,那就要警惕是否被黑客篡改了。&br&* 如果没勾选,一般情况下没有问题。&br&* 检查DNS IP是否正常:在百度上搜索下里面的DNS IP看看是不是国内的,如果是国外的则需要警惕了!除非是Google的8.8.8.8这个,看看百度的搜索结果有没有谁讨论过这个DNS IP的可疑情况,有些正常DNS IP也会有人讨论质疑,这个需要大家自行判断一下,实在没把握就设置DNS IP如下:&br&主DNS服务器:114.114.114.114,备用DNS服务器为:8.8.8.8&/blockquote&&br&关于其他品牌如何修改查看或者修改DNS的话,和上面步骤也差不多,实在找不到的话就百度一下,多方便。&br&&br&如果发现被攻击的痕迹,重置路由器是个好办法,当然下面的步骤是必须的:&br&&br&&br&&b&修改路由器Web登陆密码&/b&&br&路由器一般都会有Web管理页面的,这个管理界面的登陆密码记得一定要修改!一般情况下默认账号密码都是admin,把账号密码最好都修改的复杂点儿吧!&br&&br&上面的步骤都是人工的,我们另外准备了工具(建议结合使用):&a href=&///?target=http%3A//zhanzhang.anquan.org/topic/dns_hijacking/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&DNS劫持恶意代码检测&i class=&icon-external&&&/i&&/a&&br&&br&开启计算机防火墙以及安装杀软也能有效的防御此类攻击。当然https还是安全的,只不过登陆相应https网站或者涉及敏感隐私/金钱交易网站时候&b&注意网址左侧的证书颜色,绿色黄色红色分别代表不同级别!&/b&&br&&img src=&/73cc8cb4abb97_b.jpg& data-rawwidth=&297& data-rawheight=&63& class=&content_image& width=&297&&&br&&br&或者你还不了解DNS劫持?:&a href=&///?target=http%3A//mp./mp/appmsg/show%3F__biz%3DMjM5NTUzMzMwMQ%3D%3D%26appmsgid%3Ditemidx%3D1%26sign%3Df591e4d7ceb21a3f06e292cdfafeaa74%23wechat_redirect& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&DNS劫持那些事&i class=&icon-external&&&/i&&/a&
谢邀。刚好这两天想要发布公共号关于这篇文章,“L”告诉你的? 那我就简单的说说(随后同步到公众号和专栏)另外如果有人说有AD或者其他嫌疑,那你就当没看见关闭网页吧,用心去看。 一、背景描述 最近波兰CERT一篇名&Large-scale DNS redirection on home…
HTTP 2.0 的出现,相比于 HTTP 1.x ,大幅度的提升了 web 性能。在与 HTTP/1.1 完全语义兼容的基础上,进一步减少了网络延迟。而对于前端开发人员来说,无疑减少了在前端方面的优化工作。本文将对 HTTP 2.0 协议 个基本技术点进行总结,联系相关知识,探索 HTTP 2.0 是如何提高性能的。&br&&br&&br&&strong&初露锋芒&/strong&&br&&p&&a href=&///?target=https%3A///demo& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/2: the Future of the Internet&i class=&icon-external&&&/i&&/a& 这是 Akamai 公司建立的一个官方的演示,用以说明 HTTP/2 相比于之前的 HTTP/1.1 在性能上的大幅度提升。 同时请求 379 张图片,从Load time 的对比可以看出 HTTP/2 在速度上的优势。&/p&&img src=&/a8c500242cca3edb042b194d_b.png& data-rawwidth=&945& data-rawheight=&585& class=&origin_image zh-lightbox-thumb& width=&945& data-original=&/a8c500242cca3edb042b194d_r.png&&&br&&p&此时如果我们打开 Chrome Developer Tools 查看 Network 一栏可以发现,HTTP/2 在网络请求方面与 HTTP /1.1的明显区别。&/p&&p&&br&HTTP/1:&br&&/p&&img src=&/da14f0743605dfdadbb601b4_b.png& data-rawwidth=&986& data-rawheight=&767& class=&origin_image zh-lightbox-thumb& width=&986& data-original=&/da14f0743605dfdadbb601b4_r.png&&&br&&p&HTTP/2:&/p&&img src=&/cf8b9bbee7dc2be61492_b.png& data-rawwidth=&980& data-rawheight=&762& class=&origin_image zh-lightbox-thumb& width=&980& data-original=&/cf8b9bbee7dc2be61492_r.png&&&br&&strong&多路复用 (Multiplexing)&/strong&&br&&p&&strong&多路复用允许同时通过单一的 HTTP/2 连接发起多重的请求-响应消息。&/strong&&/p&&p&众所周知 ,在 HTTP/1.1 协议中 「浏览器客户端在同一时间,针对同一域名下的请求有一定数量限制。超过限制数目的请求会被阻塞」。&/p&&br&&blockquote&Clients that use persistent connections SHOULD limit the number of simultaneous connections that they maintain to a given server. A single-user client SHOULD NOT maintain more than 2 connections with any server or proxy. A proxy SHOULD use up to 2*N connections to another server or proxy, where N is the number of simultaneously active users. These guidelines are intended to improve HTTP response times and avoid congestion.&/blockquote&来源:RFC-.4 Practical Considerations&br&&a href=&///?target=http%3A//www.w3.org/Protocols/rfc2616/rfc2616-sec8.html%23sec8.1.4& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/1.1: Connections&i class=&icon-external&&&/i&&/a&&br&&br&该图总结了不同浏览器对该限制的数目。&br&&img src=&/faedeb3daed6a5dbf436e5_b.png& data-rawwidth=&708& data-rawheight=&359& class=&origin_image zh-lightbox-thumb& width=&708& data-original=&/faedeb3daed6a5dbf436e5_r.png&&来源:&br&&a href=&///?target=http%3A///blog//roundup-on-parallel-connections/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Roundup on Parallel Connections&i class=&icon-external&&&/i&&/a&&br&这也是为何一些站点会有多个静态资源 CDN 域名的原因之一,拿 Twitter 为例,&a href=&///?target=http%3A///& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&&i class=&icon-external&&&/i&&/a&,目的就是变相的解决浏览器针对同一域名的请求限制阻塞问题。&br&而 HTTP/2 的多路复用(Multiplexing) 则允许同时通过单一的 HTTP/2 连接发起多重的&strong&请求-响应&/strong&消息。&br&&img src=&/b1e608ddb7493608efea3e76912aabe1_b.png& data-rawwidth=&1602& data-rawheight=&1588& class=&origin_image zh-lightbox-thumb& width=&1602& data-original=&/b1e608ddb7493608efea3e76912aabe1_r.png&&因此 HTTP/2 可以很容易的去实现多流并行而不用依赖建立多个 TCP 连接,HTTP/2 把 HTTP 协议通信的基本单位缩小为一个一个的帧,这些帧对应着逻辑流中的消息。并行地在同一个 TCP 连接上&strong&双向交换&/strong&消息。&br&&br&&br&&b&二进制分帧&/b&&br&在不改动 HTTP/1.x 的语义、方法、状态码、URI 以及首部字段….. 的情况下, HTTP/2 是如何做到「突破 HTTP1.1 的性能限制,改进传输性能,实现低延迟和高吞吐量」的 ?&br&关键之一就是在 应用层(HTTP/2)和传输层(TCP or UDP)之间增加一个二进制分帧层。&br&&br&&img src=&/906e1325d93aae0f1e07_b.jpg& data-rawwidth=&625& data-rawheight=&324& class=&origin_image zh-lightbox-thumb& width=&625& data-original=&/906e1325d93aae0f1e07_r.jpg&&在二进制分帧层中, HTTP/2 会将所有传输的信息分割为更小的消息和帧(frame),并对它们采用二进制格式的编码 ,其中 HTTP1.x 的首部信息会被封装到 HEADER frame,而相应的 Request Body 则封装到 DATA frame 里面。&br&HTTP/2 通信都在一个连接上完成,这个连接可以承载任意数量的双向数据流。&br&在过去, HTTP 性能优化的&strong&关键并不在于高带宽&/strong&,而是&strong&低延迟&/strong&。TCP 连接会随着时间进行自我「调谐」,起初会限制连接的最大速度,如果数据成功传输,会随着时间的推移提高传输的速度。这种调谐则被称为 TCP 慢启动。由于这种原因,让原本就具有突发性和短时性的 HTTP 连接变的十分低效。&br&HTTP/2 通过让所有数据流共用同一个连接,可以更有效地使用 TCP 连接,让高带宽也能真正的服务于 HTTP 的性能提升。&br&&br&总结:&br&&ul&&li&单连接多资源的方式,减少服务端的链接压力,内存占用更少,连接吞吐量更大&/li&&li&由于 TCP 连接的减少而使网络拥塞状况得以改善,同时慢启动时间的减少,使拥塞和丢包恢复速度更快&/li&&/ul&&img src=&/aec6593fd6addad0310faa5_b.png& data-rawwidth=&772& data-rawheight=&555& class=&origin_image zh-lightbox-thumb& width=&772& data-original=&/aec6593fd6addad0310faa5_r.png&&&br&&strong&首部压缩(Header Compression)&/strong&&br&HTTP/1.1并不支持 HTTP 首部压缩,为此 SPDY 和 HTTP/2 应运而生, SPDY 使用的是通用的&a href=&///?target=https%3A//en.wikipedia.org/wiki/DEFLATE& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&DEFLATE&i class=&icon-external&&&/i&&/a& 算法,而 HTTP/2 则使用了专门为首部压缩而设计的 &a href=&///?target=http%3A//http2.github.io/http2-spec/compression.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HPACK&i class=&icon-external&&&/i&&/a& 算法。&br&&img src=&/c41c386f03b41f149a53fb17f520dd8d_b.png& data-rawwidth=&614& data-rawheight=&309& class=&origin_image zh-lightbox-thumb& width=&614& data-original=&/c41c386f03b41f149a53fb17f520dd8d_r.png&&&br&&strong&服务端推送(Server Push)&/strong&&p&服务端推送是一种在客户端请求之前发送数据的机制。在 HTTP/2 中,服务器可以对客户端的一个请求发送多个响应。Server Push 让 HTTP1.x 时代使用内嵌资源的优化手段变得没有意义;如果一个请求是由你的主页发起的,服务器很可能会响应主页内容、logo 以及样式表,因为它知道客户端会用到这些东西。这相当于在一个 HTML 文档内集合了所有的资源,不过与之相比,服务器推送还有一个很大的优势:可以缓存!也让在遵循同源的情况下,不同页面之间可以共享缓存资源成为可能。&/p&&img src=&/d9f1b7afc0_b.png& data-rawwidth=&492& data-rawheight=&211& class=&origin_image zh-lightbox-thumb& width=&492& data-original=&/d9f1b7afc0_r.png&&&br&&br&&b&关于 HTTP/2 的 Server Push 以及 &/b&&b&HTTP/2 的缓存策略&/b&&br&典型问题:&br&&b&「如果客户端早已在缓存中有了一份 copy 怎么办?」还要 Push 吗?&/b&&br&详情参考另一个答案:&br&&a href=&/question//answer/& class=&internal&&HTTP/2 对现在的网页访问,有什么大的优化呢?体现在什么地方&/a&&br&&br&&b&PS:&/b&&br&强烈推荐阅读
Mark Nottingham 在 &b&Velocity Beijing 2015&/b& 的 speech&br&&b&HTTP/2 for Front-End Developers&/b& ,关于 HTTP/2 下的前端性能优化相关。&br&Slide 地址:&a href=&///?target=https%3A//www.mnot.net/talks/h2fe/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/2 for Front-End Developers&i class=&icon-external&&&/i&&/a&&br&&br&参考资料:&br&&ul&&li&Gitbook 《HTTP2 讲解》 by Calvin Zhang and Simon Xia:&a href=&///?target=https%3A///book/ye11ow/http2-explained/details& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&http2讲解
- GitBook&i class=&icon-external&&&/i&&/a&&/li&&li&HTTPS、SPDY 以及 HTTP/2 性能简单对比:&a href=&///?target=http%3A////a-simple-performance-comparison-of-https-spdy-and-http2/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&A Simple Performance Comparison of HTTPS, SPDY and HTTP/2&i class=&icon-external&&&/i&&/a&&/li&&li&HTTP/2 的压缩算法--HPACK(RFC7541):&a href=&///?target=https%3A//httpwg.github.io/specs/rfc7541.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HPACK: Header Compression for HTTP/2&i class=&icon-external&&&/i&&/a&&/li&&li&NGINX HTTP/2 白皮书:&a href=&///?target=https%3A///wp-content/uploads/2015/09/NGINX_HTTP2_White_Paper_v4.pdf& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://www.&/span&&span class=&visible&&/wp-content/up&/span&&span class=&invisible&&loads/2015/09/NGINX_HTTP2_White_Paper_v4.pdf&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/li&&li&NGINX Blog--提升 HTTP/2 性能的 7个小建议:&/li&&ul&&li&&a href=&///?target=https%3A///blog/7-tips-for-faster-http2-performance/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&7 Tips for Faster HTTP/2 Performance&i class=&icon-external&&&/i&&/a&(原文)&/li&&li&&a href=&///?target=http%3A///topic/1563%23tip7sharding& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&[译]使用HTTP/2提升性能的7个建议&i class=&icon-external&&&/i&&/a&(李松峰译)&/li&&/ul&&br&&li&&a href=&///?target=https%3A///insites/2015/03/http-2.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/2 for a Faster Web&i class=&icon-external&&&/i&&/a&&br&&/li&&li&O'Reilly &i&HTTP2-high-perf-browser-networking:&/i&&a href=&///?target=http%3A///webops-perf/free/files/HTTP2-high-perf-browser-networking.pdf& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/webops-perf&/span&&span class=&invisible&&/free/files/HTTP2-high-perf-browser-networking.pdf&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/li&&li&HTTP/2 新特性浅析:&a href=&///?target=http%3A////http2/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/2 新特性浅析&i class=&icon-external&&&/i&&/a&&/li&&li&Kevin blog 关于 HTTP/2 的系列归档:&a href=&///?target=http%3A//www.unclekevin.org/%3Fcat%3D15& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/2 | 凯文叔叔的网志&i class=&icon-external&&&/i&&/a&&/li&&li&Can i use 上关于支持HTTP/2 的浏览器:&a href=&///?target=http%3A///%23feat%3Dhttp2& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Can I use... Support tables for HTML5, CSS3, etc&i class=&icon-external&&&/i&&/a&&/li&&/ul&
HTTP 2.0 的出现,相比于 HTTP 1.x ,大幅度的提升了 web 性能。在与 HTTP/1.1 完全语义兼容的基础上,进一步减少了网络延迟。而对于前端开发人员来说,无疑减少了在前端方面的优化工作。本文将对 HTTP 2.0 协议 个基本技术点进行总结,联系相关知识,探索 …
360发布的这个浏览器支持的是GM/T 标准,使用&a href=&///?target=http%3A///view/c25b6b74aa8e72& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&双证书体系&i class=&icon-external&&&/i&&/a&,设计出来就是为了老大哥看你底裤用的,这是标准问题,跟加密算法关系到不是很大.... &a data-hash=&c78ab9a8fb990a3ac5070& href=&///people/c78ab9a8fb990a3ac5070& class=&member_mention& data-tip=&p$b$c78ab9a8fb990a3ac5070& data-hovercard=&p$b$c78ab9a8fb990a3ac5070&&@掌晓愚&/a&&br&-------------------------------------------&br&&b&是时候吊销一波国产证书了2333&/b&&br&再次安利:&a href=&///?target=https%3A///chengr28/RevokeChinaCerts& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&chengr28/RevokeChinaCerts · GitHub&i class=&icon-external&&&/i&&/a&&br&-------------------------------------------&br&有的人被老大哥偷窥(其实是光明正大的视奸)还能产生奇怪的快感,YY这是阻止外国邪恶势力颠*覆所做出的必要牺牲,&b&然而老大哥想看你的底裤才是发自真心2333&/b&
360发布的这个浏览器支持的是GM/T 标准,使用,设计出来就是为了老大哥看你底裤用的,这是标准问题,跟加密算法关系到不是很大....
------------------------------------------- 是时候吊销一波国产证书了2333 再次安利:
阿里云厉不厉害?&br&&img src=&/ddcae5660fcadbb2700e8f_b.png& data-rawheight=&868& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/ddcae5660fcadbb2700e8f_r.png&&有个屌用&br&微软厉不厉害?&br&&img src=&/82bd0200fb1dadd159977d_b.png& data-rawheight=&868& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/82bd0200fb1dadd159977d_r.png&&有个屌用&br&中移动厉不厉害?&br&&img src=&/00e6e61ee13f39d70f328_b.png& data-rawheight=&868& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/00e6e61ee13f39d70f328_r.png&&有个屌用&br&CNNIC厉不厉害?&br&&img src=&/1f91d98c7d_b.png& data-rawheight=&868& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/1f91d98c7d_r.png&&有个屌用&br&国家电网厉不厉害?&br&&img src=&/03c474d7fede4ca3c3ae23f66b886812_b.png& data-rawheight=&868& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/03c474d7fede4ca3c3ae23f66b886812_r.png&&有个屌用&br&“微软辣鸡,上个网都会中毒”&br&&img src=&/3da9f9ec8a1dcaa81fd961_b.png& data-rawheight=&900& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/3da9f9ec8a1dcaa81fd961_r.png&&&img src=&/1def499ef10ec53b41de1_b.png& data-rawheight=&900& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/1def499ef10ec53b41de1_r.png&&&img src=&/0c594aeb307c876_b.png& data-rawheight=&900& data-rawwidth=&1440& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/0c594aeb307c876_r.png&&&br&哪义务!&br&-----------------------&br&杭州电信用户,现在已经分不清哪些广告是网站自带的,哪些广告是电信插的了……
阿里云厉不厉害? 有个屌用 微软厉不厉害? 有个屌用 中移动厉不厉害? 有个屌用 CNNIC厉不厉害? 有个屌用 国家电网厉不厉害? 有个屌用 “微软辣鸡,上个网都会中毒” 哪义务! ----------------------- 杭州电信用户,现在已经分不清哪些广告是网站自带…
谢邀,先说结论:在&b&基础设施没有漏洞&/b&和&b&合理操作&/b&的前提下不能&b&。&/b&&br&&br&&br&&b&(国内用户另说,见文末)&/b&&br&&br&长文预警!&br&========&br&&br&要说能否截取HTTPS的明文信息,就要从HTTPS的原理说起了。&br&&br&所谓HTTPS协议,其实是指HTTP和TLS两种协议的结合。严格来说,HTTPS并不能算是一种协议,而应该被看做是HTTP协议在TLS协议之上,使用TLS加密的结果,即:信息仍然采用HTTP协议编码,但在传递时会由TLS协议来加密,从而达到避免窃听和中间人攻击的目的。&br&&br&那么题主实际上想要问的问题是:假设掌握了TLS加密后的密文,是否存在没有密匙而获取明文的方法?&br&&br&针对这个问题,我们从密码学的历史看起。首先要说的一点是,密码学(cryptography)和密码(password)是两个完全不同的概念。密码学指的是隐秘的传送信息的方法,而常说的“密码”则指的是用来认证身份的密匙。&br&&br&据说,在公元前480年希腊人对波斯人的战争时,斯巴达的司令曾派人给前线送去这样一条腰带:&br&&blockquote&KGDEINPKLRIJLFGOKLMNISOJNTVWG&br&&/blockquote&指挥官拿到后,将其缠在一条木棍上,得到了明文&Kill King&,如下:&br&&blockquote&&b&K&/b&GDE&b&I&/b&NPK&b&L&/b&RIJ&b&L&/b&FGO&b&K&/b&LMN&b&I&/b&SOJ&b&N&/b&TVW&b&G&/b&&/blockquote&斯巴达人虽然在这次战争中失败了,但这次战争中却出现了人类历史上第一次的加密。从此以后,在不断增多的秘密通讯需求的推动下,加密装置不断地增强,发展到第二次世界大战中的“迷”,成为了机械式加密装置的巅峰。&br&&br&在这之后,由于计算机技术的不断发展,更加复杂的加密方式变得可能,而更加强大的破解能力也在不断被实现。同时,由于网络链路的复杂性,任何一个环节被监听都可能导致信息的泄露,而双方也不可能预先约定一个密匙。这使得加密算法必须做到在算法被&b&公开&/b&的情况下依然不能被破译。RSA算法,TLS协议中使用的一个算法,就做到了这一点。&br&&br&RSA算法是公开密匙加密算法中的一种。在这样的算法中,每个用户拥有两个密匙:公匙和私匙。公匙是公开的,而私匙则不公开。这两个密匙数学上相互关联,但由公匙计算出私匙则几乎不可能。用公匙加密的信息可以由对应的私匙解密。这样,在用户使用网站时,网站与用户只需相互交换公匙,并用对方的公匙加密信息,就可以保证信息只有对方可以解密。破解RSA算法依赖于高效率的大数质因数分解,而目前尚没有有效的算法可以做到这一点。因此,在密匙长度足够的情况下,可以认为由RSA算法加密的信息是绝对安全的。&br&&br&但是仍然存在一个问题:我们虽然确认了这个信息是由某一公匙加密的,但却不能确定这一公匙对应者的身份。如果有人在信息传递的中途拦截了这些信息,并用他自己的公匙来替换了双方的公匙,他就完成了一次&b&中间人攻击&/b&(man-in-the-middle attack)。1586年,被伊丽莎白女王监禁的玛丽女王收获了安东尼·贝平顿的秘密信件,得知了他们秘密营救玛丽并刺杀伊丽莎白的计划。他们的信件中使用了密码,但却被当时的英格兰大臣华兴翰所截获,复制,由菲力普·马尼斯破解。在破解后,他们由模仿玛丽的笔记引诱安东尼行动,一举抓获叛逆者。由此可见中间人攻击的危害,不仅会导致信息的&b&泄露&/b&,更会导致内容被&b&替换&/b&,从而造成更大的损失。&br&&br&为了解决这个问题,我们引入了&b&信任链&/b&这一概念。简单地说,数字证书认证机构(CA),负责审核身份,并且对公匙做数字签名,再生成一个证书。数字签名技术同样采用RSA算法,我们只需拥有CA的公匙,就能够确认这条信息是由CA的私匙加密,从而保证了CA所生成的证书是由CA担保的。也就是说,CA&b&替用户完成了审核身份的工作&/b&。用户只需要信任CA的公匙,就能够信任由这个CA所颁发的所有证书的身份,从而避免了上述信息交换过程中,有第三方替换了证书来进行中间人攻击的可能性。&br&&br&可以看到,这一套系统中,我们做到了从两者初次交换信息开始,&b&所有&/b&的交换(公匙,密文)都公开可见,然而攻击者仍然不能破译出明文。这一点为现代的互联网提供了极大的方便,使得用户可以方便的建立可信任的连接。&br&&br&回到VPN的问题上来,虽然VPN提供者有浏览所有信息的浏览的能力,也有替换其中信息的能力,由于我们使用了&b&信任链&/b&和公匙加密系统,他既不能查看信息的明文,也不能对明文进行替换。&br&&br&那么可能的问题有哪些呢?&br&&br&1. 基础设施的漏洞&br&假如说,用户在收到信息时,并没有进行有效的身份认证,而是选择了直接信任这一信息,就能使攻击者可以采取任意的密匙来伪造身份。这一点的例子就是前段时间著名的&Goto fail&。假如VPN的所有者掌握了这样的漏洞,就可以伪造自己的身份,从而监听甚至伪造信息。&br&&br&2.不合理的操作&br&由信任链的结构可以看出,信任一个证书,就是选择了信任这个证书所代表的机构认证的任何证书。如果VPN的所有者诱导用户在自己的设备上信任了自己的CA,那么他只需要由这个CA颁发给自己一个证书,就可以做到伪造身份了。&br&&br&下面是私货夹带时间&br&===============&br&&br&很不幸,在国内,基本上&b&所有&/b&的用户都&b&很危险&/b&。&br&&br&为什么,因为在你安装支付宝安全插件的时候,它已经&b&自动帮你信任了一个它自己的CA证书了&/b&。或许支付宝认为没有什么别的机构有资格认证它的身份,那支付宝又有什么资格&b&认证其他机构的身份,认证Windows更新,认证驱动程序,认证文件加密&/b&?而这个CA证书,能做的远远不止这些。&br&&br&或许你觉得我们应该信任支付宝,但是:&br&&ol&&li&任何一个多余的证书都是潜在的安全威胁。如果这个证书的私匙被泄露了怎么办?如果支付宝的这个证书被用于认证除了支付宝以外的其他网站怎么办?这一点直接否定了CA存在的意义:帮助用户完成身份的审核。&br&&/li&&li&对不起,我不信任一个会转发我所有流量的互联网公司。(详见&a href=&/question/& class=&internal&&为什么 Alipay 的安全插件要从 Windows 底层转发几乎所有 TCP 流量? - 网络安全&/a&)&/li&&/ol&以上。
谢邀,先说结论:在基础设施没有漏洞和合理操作的前提下不能。 (国内用户另说,见文末) 长文预警! ======== 要说能否截取HTTPS的明文信息,就要从HTTPS的原理说起了。 所谓HTTPS协议,其实是指HTTP和TLS两种协议的结合。严格来说,HTTPS并不能算是一种协…
我是一个外行。以下只是个人见解。&br&如果先看看这个回答,或许会对理解这场骂战有所帮助。&br&&a href=&/question/& class=&internal&&@奥卡姆剃刀 是谁?如何看待他在微博关于音乐的这段微博?&/a&请看 &a href=&/people/yin-liang-can& class=&internal&&尹两灿&/a& 先生的回答。&br&&br&目睹了两天的混战。(混战之前微博就关注了@奥卡姆剃刀 @yuange1975 @tombkeeper )&br&其中最初的争议就在下图的下划线处&br&&img src=&/9cb5219a5fde4_b.jpg& data-rawwidth=&601& data-rawheight=&481& class=&origin_image zh-lightbox-thumb& width=&601& data-original=&/9cb5219a5fde4_r.jpg&&如果就单从红线处看,&b&@奥卡姆剃刀的结论的后半句是站不住脚的&/b&。内行人士可以通过各种方法获取账户和密码,具体方法我也不太懂。&br&&br&之后@yuange1975评论了@奥卡姆剃刀的微博,指出其结论不正确实现方法很单。@奥卡姆剃刀约架@yuange1975,被回绝。&br&&img src=&/8ea565a7fde810e5ca88_b.jpg& data-rawwidth=&584& data-rawheight=&289& class=&origin_image zh-lightbox-thumb& width=&584& data-original=&/8ea565a7fde810e5ca88_r.jpg&&&b&到这里,双方做的都不算出格。&/b&双方都没有对对方采用的方式加以限制,这也就为后来的混战埋下了伏笔。&br&&br&@被吊打的redrain发话,&b&语言略有挑衅&/b&。@奥卡姆剃刀约战。结果还是没约成。&br&&img src=&/a30f300f617c3b9f2214bb7_b.jpg& data-rawwidth=&584& data-rawheight=&227& class=&origin_image zh-lightbox-thumb& width=&584& data-original=&/a30f300f617c3b9f2214bb7_r.jpg&&&br&@王思聪第一次说话。&b&建议不错。&/b&&br&&img src=&/d09adabd8637b9dbb84435_b.jpg& data-rawwidth=&594& data-rawheight=&304& class=&origin_image zh-lightbox-thumb& width=&594& data-original=&/d09adabd8637b9dbb84435_r.jpg&&&br&@王思聪 第二次说话,开始攻击@奥卡姆剃刀。&b&做得不对。&/b&&br&&b&@奥卡姆剃刀开始第一次升级自己的条件。这时与最初观点已有不同。&/b&&br&&b&&img src=&/a95f5cade8a6_b.jpg& data-rawwidth=&596& data-rawheight=&289& class=&origin_image zh-lightbox-thumb& width=&596& data-original=&/a95f5cade8a6_r.jpg&&@&/b&奥卡姆剃刀 艾特@周鸿祎。&b&@周鸿祎给他解释了通过钓鱼的方式,@奥卡姆剃刀第二次升级条件。&/b&&br&&b&&img src=&/206cd4e9a8ea84002ebbca10b624ecda_b.jpg& data-rawwidth=&594& data-rawheight=&421& class=&origin_image zh-lightbox-thumb& width=&594& data-original=&/206cd4e9a8ea84002ebbca10b624ecda_r.jpg&&**********************************到这里,@奥卡姆剃刀已经败了**************************************&/b&&br&之后&b&@奥卡姆剃刀又发表了一些言论,这些言论已经不怎么正常了,自以为是的性格完全暴露,而且这些言论彻底惹怒了安全界的人士,并导致了第二天的混战。&/b&&br&&img src=&/dd8ec85ab837c3979790ebc_b.jpg& data-rawwidth=&580& data-rawheight=&363& class=&origin_image zh-lightbox-thumb& width=&580& data-original=&/dd8ec85ab837c3979790ebc_r.jpg&&&img src=&/bbadd26aea2fd25bb7e8001_b.jpg& data-rawwidth=&592& data-rawheight=&403& class=&origin_image zh-lightbox-thumb& width=&592& data-original=&/bbadd26aea2fd25bb7e8001_r.jpg&&&img src=&/05e558cc3a_b.jpg& data-rawwidth=&586& data-rawheight=&369& class=&origin_image zh-lightbox-thumb& width=&586& data-original=&/05e558cc3a_r.jpg&&&img src=&/bd74dd03ed892_b.jpg& data-rawwidth=&591& data-rawheight=&365& class=&origin_image zh-lightbox-thumb& width=&591& data-original=&/bd74dd03ed892_r.jpg&&&br&&br&&b&这时的@奥卡姆剃刀已经不理智了。ps:该微博已被删除。&/b&&br&更新&br&此微博为@奥卡姆剃刀的气话,其在发布后迅速删除,他在之后的微博也反复提到。请不要过分关注下图。我发此图只是为了还原当时的情况,并无恶意。&br&&img src=&/1d66ae1a5ae0_b.jpg& data-rawwidth=&440& data-rawheight=&423& class=&origin_image zh-lightbox-thumb& width=&440& data-original=&/1d66ae1a5ae0_r.jpg&&&br&&br&&br&&br&&b&评价:在该混战中,@奥卡姆剃刀败,众安全人士赢。@王思聪和@周鸿祎属于打酱油。央视的报道不是制造恐怖气氛,而是给大家提个醒。@奥卡姆剃刀一开始的质疑可以理解,之后的言论很不妥当。众安全人士则在国庆期间过得不再那么无聊。&/b&&br&&br&&br&最后献上 @tombkeeper的两个微博,希望每个人都仔细体会。&br&&img src=&/b8ad106e7f_b.jpg& data-rawwidth=&582& data-rawheight=&249& class=&origin_image zh-lightbox-thumb& width=&582& data-original=&/b8ad106e7f_r.jpg&&&img src=&/edbcb75d2a_b.jpg& data-rawwidth=&588& data-rawheight=&234& class=&origin_image zh-lightbox-thumb& width=&588& data-original=&/edbcb75d2a_r.jpg&&
我是一个外行。以下只是个人见解。 如果先看看这个回答,或许会对理解这场骂战有所帮助。 请看
先生的回答。 目睹了两天的混战。(混战之前微博就关注了@奥卡姆剃刀 @yuange1975 @tombkeeper…
12306的HTTPS页面之所以划红线,技术原因有两点:&br&1,根证书不被操作系统信任,需要按照网站提示安装根证书,使操作系统信任这个根证书。&br&&img src=&/69ffde0aea1f0ee37c438da51d9c2263_b.png& data-rawwidth=&453& data-rawheight=&189& class=&origin_image zh-lightbox-thumb& width=&453& data-original=&/69ffde0aea1f0ee37c438da51d9c2263_r.png&&&br&2,按照步骤安装好证书后,系统已经信任这个证书了,但是使用chrome等较新的浏览器还会显示红叉,这是由于12306的根证书使用了不安全的sha1算法。只有12306网站升级到sha256算法后才能消除这个红叉。&br&&img src=&/da75ce60c70ad19ce2f99360_b.png& data-rawwidth=&373& data-rawheight=&273& class=&content_image& width=&373&&&br&12306为什么不使用知名CA的证书,这样就不会出现上述的红叉了。我也考虑过两点:&br&1,为了省钱。可是一张最贵的证书也就1年1万出头,这对于交易量在全世界也能排名前列的网站来说显然是九牛一毛,所以肯定不是经济成本的原因。&br&2,为了安全。因为现在的知名CA大多是国外特别是美国的,所以有莫名的担心。其实CA只是提供了证书,这个证书只用于用户登陆的网站身份验证,用户登陆之后的传输数据跟CA没有任何关系。另外中国几乎全部银行,知名网站都是使用的国外知名CA的证书,如果不安全,银行是不是早就出问题了?所以也不应该是安全的原因。&br&&br&所以我认为的最深层的原因是:&b&国有&/b&&b&垄断单位对用户体验和安全的无视&/b&。我就是有红叉了,就是有安全隐患了,你能奈我何?你还不是只能到我这才能买票?呵呵 ,我们没有任何办法。&br&前面提到的国有银行其实也一幅德性,我的网银就是只支持IE,就是又卡又慢了,有本事你用其他银行的啊?呵呵,幸好我们有其他选择,所以我们要感谢支付宝,要感谢招商银行等非国有银行。然后我们也惊喜地发现,那些银行的网银也在慢慢地变好。&br&&b&所以只有公平竞争,只有让用户有更多选择,才能彻底消除这样的红叉!&/b&
12306的HTTPS页面之所以划红线,技术原因有两点: 1,根证书不被操作系统信任,需要按照网站提示安装根证书,使操作系统信任这个根证书。 2,按照步骤安装好证书后,系统已经信任这个证书了,但是使用chrome等较新的浏览器还会显示红叉,这是由于12306的根…
的记得小时候,敞篷卡车从果园拉着一车车的苹果,运到码头上,然后再装载到万吨货轮上运往上海。但运往码头的最后一公里,道路坑坑洼洼,卡车会放慢速度,这时就会有一些青少年爬上货车,从袋子里拿苹果吃,每次都会有一袋或几袋被开包,为此运输公司非常苦恼。&br&&img data-rawwidth=&350& data-rawheight=&262& src=&/v2-bdcc695faf7d336f16224b4_b.jpg& class=&content_image& width=&350&&&br&&br&&br&后来为了减少损失,运输公司使用了封闭的集装箱,装载好苹果再将车厢锁起来,到达目的地再打开,这样即使有人想从车厢里拿苹果,也无从下手。&br&&img data-rawwidth=&600& data-rawheight=&390& src=&/v2-a6af0fbf06aa21fdaec7869dba0adff0_b.jpg& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/v2-a6af0fbf06aa21fdaec7869dba0adff0_r.jpg&&&br&&br&以上敞篷卡车所对应的就是&b&TCP&/b&,苹果对应的是&b&HTTP&/b&,由于敞篷卡车无法保证在传输路途上,苹果是否被窃取、调包、所以最终有多少货物到达目的地,那完全要看坏小子的心情,如果坏小子只是插入一些广告,用户的浏览器最多弹出一些广告页面。&br&&br&更甚一步,窃取用户cookie,登录用户账户做非法的勾当。还可以通过明文http植入木马,可以远程控制用户电脑,窃取用户敏感信息。&br&&br&集装箱代表&b&TCP + TLS(Transport Layer Security)&/b&,从果园运输的十吨苹果能够原封不动地到达目的地,既不会多也不会少。&br&&br&&b&明文HTTP让坏人有机可乘&/b&&br&为了实现网络的高度安全,需要很多环节协同工作,只要有一个环节有漏洞,就有可能被利用,而为了提高网络的相对安全性,最高优先级就应该从HTTP下手,因为这个用户使用的最频繁。&br&&br&目前几乎所有的个人电脑都处于路由器NAT保护之下,如果用户不主动访问Internet,别人无从对NAT后个人电脑下手。&br&&br&一旦用户主动访问Internet,就相当于在NAT城门上啄了一个小洞,这个小洞就是一个NAT映射表,如果没有流量刷新,300秒之后小洞就会关闭。&br&在&b&小洞存活的300秒以内,允许外部主机来访问个人电脑,而明文的HTTP就是最好的载体。&/b&一旦个人电脑被植入了木马,木马程序就会主动周期性发消息给Internet的控制终端,这样NAT小洞会一直敞开大门&b&(周期性消息刷新定时器)&/b&,给远程控制提供了便利。&br&&br&&b&HTTPS提供了端到端的安全加密&/b&&br&不仅提供&b&数据机密性(加密)&/b&,还提供&b&数据完整性(不篡改数据)保护&/b&、&b&防重放(把捕获的报文再发一次无效)&/b&,这样坏小子就很难下手,没有session key 很难去偷窥并篡改用户的数据,更无法依赖HTTPS这个载体植入木马。&br&&br&一定有同学会有疑问,为何明文传输的HTTP可以被劫持,篡改网页内容,而加密传输的HTTPS却不可以?&br&&br&那是因为HTTP被劫持篡改页面,重新计算TCP checksum,用户电脑是无法判别是否被篡改,只好被动接收。&br&&br&而加密传输之后,有了HMAC保护,任何篡改页面的尝试,由于没有session key,无法计算出和篡改网页一致的HMAC,所以&b&数据接收端的SSL/TLS会轻易地识别出网页已被篡改,然后丢弃&/b&,既然无法劫持,也就没有篡改的冲动了,所以HTTPS可以很好地对付网页劫持。&br&&br&&b&HTTPS并不是100%绝对可靠&/b&&br&斯诺登暴露出,针对IPsec,TLS的密钥交换所依赖的Diffie-Hellman算法攻击,即通过离线的超级计算机预先计算出海量的公钥、私钥对,一旦尝试出私钥就会得到Master Key,进而推导出session key,这样历史数据、现在、将来的数据全可以解密。&br&&br&以上是被动攻击方式,针对数字证书欺骗则属于主动攻击,可以实时地解密用户数据。但种种主、被动攻击难度都很高,往往是以国家意志为源动力,而不是一些小团体所能完成的。&br&&br&有读者肯定会心生疑惑,既然HTTPS不是绝对可靠,那依靠HTTPS工作的网银安全吗?安全,请放心使用,因为银行这个场子是国家开的,自然不会自己砸自己的场子。&br&&br&电脑网银用户一般都有一个USB Token,里面有&b&用户数字证书私钥(Private Key)&/b&,网银转账一定要有用户&b&数字证书私钥&/b&签名的转账确认,而这个私钥只有用户的Token唯一拥有,而银行拥有用户&b&数字证书公钥(Public Key)&/b&,可以成功解密出用户私钥(Private Key)签名的转账确认,以此确信&b&转账指令&/b&是由拥有USB Token的用户发出来的,这样会进一步提高网银的安全性。&br&&br&手机银行一般都是APP,可以强制使用&b&(Public Key Pinning )&/b&特定根证书作为证书信任链的顶端,可以避免客户端使用&b&误安装的伪造证书&/b&,所以APP不会与假的服务器建立TLS连接,只会与真正的服务器建立安全隧道,一旦隧道成功建立,通信就是安全的,即使转账也是安全的。当然如果转账之前通过手机短消息确认,那安全性基本上就无懈可击了。
的记得小时候,敞篷卡车从果园拉着一车车的苹果,运到码头上,然后再装载到万吨货轮上运往上海。但运往码头的最后一公里,道路坑坑洼洼,卡车会放慢速度,这时就会有一些青少年爬上货车,从袋子里拿苹果吃,每次都会有一袋或几袋被开包,为此运输公司非常苦…
&p&接上回,马老板让手下阴差阳错买了肯德基,这次又想买点东西,但难以启齿,所以悄悄给手下耳语了一番,手下连连称是,并狂拍胸脯口出豪言:马总,放心,这事包在我身上,一定出色完成任务!&/p&&p&手下打开浏览器输入:https://某宝.com,敲回车键,接下来发生一连串的连锁反应。&/p&&p&&b&第一步:&/b&浏览器与某宝建立TCP连接&/p&&p&&b&第二步:&/b&服务器会弹出一个页面提醒安装数字证书,如果不安装,接下来一切都不会顺利进行&/p&&p&&b&第三步:&/b&浏览器需要认证某宝是真实的服务器(不是山寨的),服务器发来了自己的&b&数字证书&/b&。&/p&&p&&b&插一句:某宝的数字证书从哪里来?&/b&&/p&&p&某宝自己的认证中心简称&b&CA(Certificate Authority)&/b&,CA给某宝颁发了一个证书,这个证书有:&/p&&p&签发者&/p&&p&证书用途&/p&&p&某宝的公钥&/p&&p&某宝的加密算法&/p&&p&某宝用的HASH算法&/p&&p&证书的到期时间等}
我要回帖
更多推荐
- ·顺天之逆天小说是逆天仙魔录改名了吗吗?
- ·请问派出所警察局可以通过手机号码找人吗抖音号找人要多久吗?
- ·龙江人社换成什么了app暂停服务了吗
- ·各位辛苦了表情包哪位大神告知一下她叫什么名字?
- ·推特有小黑锁推特被锁定怎么解开除?
- ·怎样用librosa python 安装对帧进行重叠
- ·学HTML5开发有学历认证有时间限制吗限制没基础学得会吗
- ·跪求就咎狗之血psp汉化版汉化版,不要百度云压缩包,
- ·如何看待 DxOmark 给魅族pro6s评测 Pro 6s 相机评分高达 85 分
- ·新能源车 智能数据采集终端端上的sim卡有什么用
- ·JGH-011光纤激光打标机配件功率30w的可以不?
- ·买哪一个键盘好?穿越火线键盘设置
- ·怎么通过ollydbg 易语言判断编汇语言
- ·apple watch照片导出3 什么时候出
- ·求人民的名义全集云资源百度云资源,谢谢!
- ·找回无界无届一点通安卓版通
- ·nodejs 重定向url接口怎么返回线上给url
- ·穷比聘F,有的没的加QQ认识下 = =
- ·如何屏蔽dns协议和阿里云httpdns 防劫持/阿里云httpdns 防劫持s协议 知乎
- ·交友怎么扩大自己的朋友圈朋友圈用什么软件比较好
- ·浙江卫视奔跑吧第五季兄弟有抽奖活动,QQ填写中奖以后不领是不是赔偿违约金求解
- ·华为p9有没有贴华为g9有原厂钢化膜吗
- ·老低着头看长期低头玩手机颈椎病,颈椎痛怎么办
- ·开什么会员好,看视频开哪个会员好
- ·怎么开启手机qq邮箱打开QQ邮箱
- ·如何在adb shell下adb mount remountAndroid下的分区
- ·路由器什么原因 使客户端 收到wireshark syn ackk后 却发送ack rst
- ·新人培训的意义想问一下,PSV版不义和ios版有区别吗
- ·为什么qq我更新版本,7.15怎么看我qq情侣空间设置是双方同步吗点赞下面出现几条评论,这是怎么回
- ·word2013word2007恢复asd文件件
- ·在手机上如何删除淘宝推广计划划怎么删除
- ·boll alc和zlc反手配大z行吗
- ·求权力的权力游戏第七集第三集季第三集百度云,只要百度云可以直接看的熟肉
