浅谈HTTPS安全性

各位可曾有过使用智能手机App在网络商店购物的经验,想必是有的,那你/妳会不会担心不够安全呢?有人会说放心吧,购物网站有使用SSL/TLS加密传输,我们就来聊聊HTTPS好了.

客户端与服务器端的交握过程是这样的,client发出request,而server在收到request后,会将自身信息以证书(包括签发机构,主体,公钥…)的形式回传.此时client会验证证书的合法性,若是受信任的,以浏览器为例,可以在网址列看到一把锁头,不然的话可是会出现警示标志的哦~

若是证书合法(或不合法但使用者选择继续),client端会生成一组随机密码,并用证书中的公钥进行加密,将信息传送给server.而server在收到client传送信息后,以私钥进行解密以取出密码,以密码解密client送来的交握信息.server再发送交握信息,交由client解密及验证是否一致,交握过程结束.之后的数据传输便是以先前client生成的随机密码以对称加密方式传送.因为数据量大,用对称加密算法会较有效率.

HTTPS的交握机制很安全,攻击者往往只能从假证书下手,采用SSL挟持的方式来进行攻击.先前曾出现过的漏洞也都被修补的差不多了.

以下是采用Fiddler做为Proxy Server的方式来观察手机登入某购物网站App的封包内容,登入画面如下所示.

App登入后,我们便可顺利看到登入的帐密(如红色框住部份便是密码),这样的结果令你/妳感到意外吗?

不过请别误会,这种设Proxy Server的方式还谈不上是中间人攻击.为各位简短的做个区别:

  1. Proxy代理-必须于被害者的手机上修改网络设定,指向某台Proxy Server,此时担任Proxy Server的工作站自然能”看”的到.这就好比我要求各位只能由我的指定的通道出入,那自然你/妳躲不过我所准备的安检机制.
  2. 中间人攻击-必须在被害者未及察觉的情况下进行,才称的上是个攻击,总不能你/妳想打人家,还跟对方借手机来设proxy吧~后续有机会再为各位详细说明一下如何攻击吧~
时间: 2024-10-10 17:17:32

浅谈HTTPS安全性的相关文章

[转]浅谈https\ssl\数字证书

浅谈https\ssl\数字证书 http://www.cnblogs.com/P_Chou/archive/2010/12/27/https-ssl-certification.html 全球可信的SSL数字证书申请:http://www.shuzizhengshu.com 在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了.本文追本溯源围绕这个模式谈一谈. 名词解释 首先解释一下上面的几个名词: https:在http(超文本传输协议)基础上提出的

浅谈HTTPS以及Fiddler抓取HTTPS协议

最近想尝试基于Fiddler的录制功能做一些接口的获取和处理工作,碰到的一个问题就是简单连接Fiddler只能抓取HTTP协议,关键的登录请求等HTTPS协议都没有捕捉到,所以想让Fiddler能够同时抓取到HTTPS和HTTP协议,设置只是很小的一步,关键是了解HTTPS协议的原理.Fiddler抓取HTTPS协议的原理,然后才能更好的理解如何进行设置.本文主要由三部分组成,第一部分用比较通俗形象的方式简述了HTTPS的原理,第二部分则是在第一部分的基础上介绍Fiddler抓取HTTPS协议的

浅谈HTTPS以及Fiddler抓取HTTPS协议(摘抄)

一.浅谈HTTPS 我们都知道HTTP并非是安全传输,在HTTPS基础上使用SSL协议进行加密构成的HTTPS协议是相对安全的.目前越来越多的企业选择使用HTTPS协议与用户进行通信,如百度.谷歌等.HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息.网上有诸多资料,有些写得过于晦涩难懂,尤其是需要密码学的一些知识.我做了一下简单的整理,刨除复杂的底层实现,单从理解SSL协议的角度宏观上认识一下HTTPS.一言以弊之,HTT

浅谈 HTTPS 和 SSL/TLS 协议的背景与基础

相关背景知识 要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识. 大致了解几个基本术语(HTTPS.SSL.TLS)的含义 大致了解 HTTP 和 TCP 的关系(尤其是"短连接"VS"长连接") 大致了解加密算法的概念(尤其是"对称加密与非对称加密"的区别) 大致了解 CA 证书的用途 考虑到很多技术菜鸟可能不了解上述背景,俺先用最简短的文字描述一下.如果你自认为不是菜鸟,请略过本章节,直接去看"HTTPS 协议的需求&

浅谈HTTPS和SSL/TLS协议的背景和基础

相关背景知识要说清楚HTTPS协议的实现原理,至少要需要如下几个背景知识.大致了解几个基础术语(HTTPS.SSL.TLS)的含义大致了解HTTP和TCP的关系(尤其是"短连接"和"长连接")大致了解加密算法的概念(尤其是"对称加密和非对称加密")大致了解CA证书的用途 考虑到很多的技术菜鸟不可能了解到上述的背景,我想用最简单的文字描述一下.如果你自己认为自己不是菜鸟,请略过此文,直接看"HTTP协议的需求". HTTPS:首

Windows Azure HandBook (3) 浅谈Azure安全性

<Windows Azure Platform 系列文章目录> 2015年3月5日-6日,参加了上海的Azure University活动.作为桌长与微软合作伙伴交流了Azure相关的技术,同时通过课程案例,学习了很多的Azure相关知识. 现在就课程中的一个案例,分析一下Azure安全性方面的内容. Azure安全性一直是一个被经常问到的问题,把虚拟机.网站和数据库等都部署到Azure平台,如何保证应用程序的安全,如何保证企业级客户的数据不被泄漏,一直是客户经常询问到的问题. 总的来说,Az

浅谈https\ssl\数字证书[转载]

在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了.本文追本溯源围绕这个模式谈一谈. 名词解释 首先解释一下上面的几个名词: https:在http(超文本传输协议)基础上提出的一种安全的http协议,因此可以称为安全的超文本传输协议.http协议直接放置在TCP协议之上,而https提出在http和TCP中间加上一层加密层.从发送端看,这一层负责把http的内容加密后送到下层的TCP,从接收方看,这一层负责将TCP送来的数据解密还原成http的内容.

浅谈https\ssl\数字证书

全球可信的SSL数字证书申请:http://www.shuzizhengshu.com 在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了.本文追本溯源围绕这个模式谈一谈. 名词解释 首先解释一下上面的几个名词: https:在http(超文本传输协议)基础上提出的一种安全的http协议,因此可以称为安全的超文本传输协议.http协议直接放置在TCP协议之上,而https提出在http和TCP中间加上一层加密层.从发送端看,这一层负责把http的内容加

浅谈HTTPS传输过程

HTTPS是什么 HTTPS不是一个新的协议,可以理解为是一个HTTP协议的加密"版本"(HTTP+SSL(TLS)).那为什么HTTP协议需要加密,不加密会出现什么问题呢?先来了解下传统的加密方式 加密方式 对称加密:对称加密是Server和Client都拿一个相同的密钥进行加密和解密,他的优点的性能好一点,但是也存在很多问题. 问题: 1.服务器如何把密钥安全的给到客户端(存在请求被拦截.窜改) 2.假设一个客户端的密钥泄露了被公开,所有的客户端以及服务器的连接传输都是不安全的 非