确保安全的HTTPS(对HTTP加密的几种技术,前端面试常问)第一篇

HTTP固然足够好,但是在安全方面有着很大隐患:

1、与服务器进行通信使用的是明文,内容可能会被窃听(HTTP协议本身并不具备加密功能,所以无法对请求和响应的内容进行加密)

2、使用HTTP协议的服务器与客户端都不会验证通信方的身份,可能遭遇伪装。(所谓不验证通信方身份的意思是,比如说服务端,在服务端接收到请求的时候,只要请求的信息正确,服务器并不会去验证,这个请求是否由其对应的客户端发出。并且,服务器会对请求立即做出一次响应,返回相应的数据)

3、使用HTTP协议的服务器与客户端都无法验证报文的完整性,所以在通信过程中,报文有可能会被篡改

等等。

基于这样的安全问题,衍生出各种加密技术,对于HTTP协议来说,加密的对象有以下两个:

1、对通信的加密:

HTTP中没有加密功能,但是可以通过和SSL(Secure Socket Layer,安全套接层)组合使用,加密通信内容。使用SSL建立安全通信线路后,就可以在这条线路上进行HTTP通信了。与SSL组合使用的HTTP被称为HTTPS(HTTP Secure,超文本传输安全协议)。

2、对通信内容本身进行加密

即对HTTP报文里所包含的内容进行加密。这样,首先客户端要先对报文进行加密,然后再发给服务器。服务器在接受到请求时,需要对报文进行解密,再处理报文。该方式不同于SSL将整个通信线路进行加密处理,所以内容仍然有被篡改的风险。

A、任何人都可以发起请求

HTTP协议中,并未有确认通信方这一步骤,所以,任何人都可以发送请求,而服务器在接受到任何请求时,都会做出相应的响应。(仅限于发送端的ip地址和端口号没有被服务器限制访问)

所以:

1、无法确认请求发送到目标服务器(按照真实意图返回响应的那台服务器),这里可能在通信中途被伪装的服务器返回响应。

2、无法确认响应返回的客户端是目标客户端(按照真实意图接受响应的那台客户端),可能是伪装的客户端。

3、无法判断请求来自何方、出自谁手。

4、即使是无意义的请求也会都接受(无法阻止海量请求下的DoS(拒绝服务攻击)攻击)。

解决方案:

查明对手的证书

虽然HTTP不能确认通信方,但SSL是可以的。SSL不仅提供了加密处理,还使用了"证书"的手段,可用于确认通信方。证书是由值得信赖的第三方机构颁布,可用于确定证明服务器和客户端是实际存在的。所以,只要能确认通信方持有的证书,即可判断通信方的真实意图。

B、无法判断报文是否完整(报文可能已遭篡改)

HTTP协议无法判断报文是否被篡改,在请求或者响应发出后,在对方接收之前,即使请求或者响应遭到篡改是无法得知的。

防止篡改:

常用的,确定报文完整性方法:MD5、SHA-1 等 散列值校验方法,以及用来确认文件的数字签名方法。但是,使用这些方法,也无法百分百确保结果正确,因为MD5本身被修改的话,用户是没办法意识到得。

为了有效防止这些弊端,可以采用HTTPS。

在iOS开发中,我所遇到的加密技术,一般是使用MD5加盐对密码进行加密,这是每个项目必须的。然后就是,有一家公司,采用的是对HTTP报文内容在前端通过加密算法进行加密、解密(也就是我们发送请求给服务器的时候,把model转化为字符串,然后对字符串进行MD5\AES等方法加密,发送给服务器。然后拿到服务器响应报文中的model字符串,经过解密后,转化为model)。

时间: 2024-11-09 19:24:21

确保安全的HTTPS(对HTTP加密的几种技术,前端面试常问)第一篇的相关文章

确保安全的HTTPS(使用混合加密的HTTPS,前端面试常问)第二篇

苹果已经确定,在iOS9中通信机制采用HTTPS了. 第一篇:http://www.cnblogs.com/ziyi--caolu/p/4742577.html 上一篇详细介绍了为什么要对HTTP进行加密,以及对HTTP进行加密的两种主要手段.也穿插了,在我以前开发过程中,对HTTP内容进行加密的知识.这一篇,主要是讲对通信过程的加密,也就是所说的HTTPS了. 简单的说,其实  HTTPS = HTTP  +  加密  +  认证  +  完整性保护 为了统一解决上一篇中提到的HTTP各种安全

面试常考点:http和https的区别与联系

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号.密码等支付信息. 为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间

对Java代码加密的两种方式,防止反编译

使用Virbox Protector对Java项目加密有两种方式,一种是对War包加密,一种是对Jar包加密.Virbox Protector支持这两种文件格式加密,可以加密用于解析class文件的java.exe,并且可以实现项目源码绑定制定设备,防止部署到客户服务器的项目被整体拷贝. 两种加密方式 War 包加密 当你的项目在没有完成竣工的时候,不适合使用 war 文件,因为你的类会由于调试之类的经常改,这样来回删除.创建 war 文件很不爽,最好是你的项目已经完成了,不改了,那么就打个 w

iOS代码加密的几种方式

众所周知的是大部分iOS代码一般不会做加密加固,因为iOS APP一般是通过AppStore发布的,而且苹果的系统难以攻破,所以在iOS里做代码加固一般是一件出力不讨好的事情.万事皆有例外,不管iOS.adr还是js,加密的目的是为了代码的安全性,虽然现在开源畅行,但是不管个人开发者还是大厂皆有保护代码安全的需求,所以iOS代码加固有了生存的土壤.下面简单介绍下iOS代码加密的几种方式. iOS代码加密的几种方式 1.字符串加密 字符串会暴露APP的很多关键信息,攻击者可以根据从界面获取的字符串

芯片加密与芯片解密技术方法的发展史!

芯片加密与芯片解密技术方法的发展史! IC集成电路在早期,除法律和经济外,几乎没有保护措施来防止复制这些设备.例如:ROM 是用低成本的掩模技术制造的,可用EPROM 轻易复制,但后者通常要贵 3-10 倍或更多.或定制掩模ROM,那就需要很长的时间和很大的投资.工业控制器的硬件安全措施与嵌入式系统同时开始发展.40年前的可编程工业控制器是由分离的部件如 CPU,ROM,RAM,I/O 缓冲器,串口和其他通信与控制接口组成的.通用的嵌入式控制器.PCB 上的每个部件很容易辨别且极易被复制.如下图

源代码加密软件的三种技术 你了解多少?

所谓源代码加密软件是指以源代码文件为对象,采用数据泄露防护技术,有效防止源代码文件泄露和扩散,它主要起源于传统数据防泄密市场.到目前为止很多人对软件源代码加密技术的了解还不够深,随着技术不断升级软件源代码加密技术经历了传统透明加密技术.边缘沙盒防泄密技术以及革新DSA数据安全隔离数据等,接下来几维安全将为大家详细介绍这三种技术,一起去看看. 传统透明加密技术 透明加密技术典型代表即文档加密软件,其核心在于文档创建时即加密,并与用户.权限相结合.加密后,授权用户正常双击打开使用,非授权用户则显示为

通过中间人攻击的方法拦截传输在https上的加密信息

通过Charles拦截移动端的登录密码 1.  使PC与Android 手机处于同一个Wifi中 2. PC 端安装Charles 的SSL 证书 2. Android手机中设置Wifi的代理地址为  PC的当前地址,端口号为:8888 3. Android 手机中导入Charles提供的证书  以小米手机为例 设置>安全和隐私>从存储设备安装>选择证书 4. 手机端打开应用,进行登录操作 5. 在PC端抓取应用登录过程中的数据包 6. 将对应的URL,加入Charles中Proxy &

[转] Java中对数据进行加密的几种方法

加密算法有很多种:这里只大约列举几例: 1:消息摘要:(数字指纹):既对一个任意长度的一个数据块进行计算,产生一个唯一指纹.MD5/SHA1发送给其他人你的信息和摘要,其他人用相同的加密方法得到摘要,最后进行比较摘要是否相同. 2:单匙密码体制:DES:比较简便高效,密钥简短,加解密速度快,破译极其困难,但其安全性依赖于密匙的安全性.DES(Data Encryption Standard)是发明最早的最广泛使用的分组对称加密算法.DES算法的入口参数有三个:Key.Data.Mode.其中Ke

php-------代码加密的几种方法

代码加密,也是保护网站安全的一种方法,以下我们来介绍一下如何通过PHP的自定义函数来加密我们的PHP代码. 方法一: <?php function encode_file_contents($filename) { $type=strtolower(substr(strrchr($filename,'.'),1)); if ('php' == $type && is_file($filename) && is_writable($filename)) { // 如果是