旅游网站设计,网页设计素材分析,昆山网站排名优化,学传媒以后能干什么HTTPS 简介
超文本传输安全协议#xff08; HTTPS #xff09;是一种通过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信#xff0c;但利用 SSL/TLS 来加密数据包。 HTTPS 开发的主要目的#xff0c;是提供对网站服务器的身份认证#xff0c;保护交换数据的…HTTPS 简介
超文本传输安全协议 HTTPS 是一种通过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信但利用 SSL/TLS 来加密数据包。 HTTPS 开发的主要目的是提供对网站服务器的身份认证保护交换数据的隐私与完整性。 HTTPS攻击主要有两种中间人劫持攻击和SSLStrip攻击。
中间人劫持攻击 中间人截取客户端发送给服务器的请求然后伪装成客户端与服务器进行通信将服务器返回给客户端的内容发送给客户端伪装成服务器与客户端进行通信。通过这样的手段便可以获取客户端和服务器之间通信的所有内容。 使用中间人攻击手段必须要让客户端信任中间人的证书如果客户端不信任则这种攻击手段也无法发挥作用。
SSLStrip攻击SSL剥离攻击 1.客户端向服务器发起HTTP连接请求 2.中间人MITM监听客户端与服务器的HTTP数据 3.服务器返回给客户端的HTTP数据包被在客户端与服务器之间的中间人截获。中间人解析原HTTP数据包将其中a hrefhttps//...替换成a hrefhttp//...将Location:https://...替换成Location:http://..同时记录下所修改的URL并保存 4.中间人将修改后的HTTP数据发送给客户端 5.客户端向服务器发起HTTP连接请求 6.中间人计算机解析客户端的HTTP连接请求并与保存文件相比较。当发现存在有已修改过的HTTP URL时将其替换成原HTTPS URL并发送给服务器 7.与服务器保持HTTPS连接回到步骤3 8.与客户端保持HTTP连接回到步骤4。 最后结果是服务器认为HTTPS是安全的。对于客户端而言由于中间人MITM与客户端Client之间是HTTP连接因此并不会对证书进行认证。
以下是一些防御措施 安装SSL证书安装SSL证书可以通过HTTPS建立安全通信。如果安装了SSL证书则用户可以知道他们正在与网站通信并且可以检查证书是否有效。这可以防止中间人攻击。 使用HSTS使用HSTS强制浏览器仅通过HTTPS连接到您的网站。此外HSTS还可以防止SSLStrip攻击。 使用HTTPS Everywhere插件HTTPS Everywhere插件可以确保您与网站建立安全的HTTPS连接。它可以检测网站是否支持HTTPS并将您重定向到HTTPS连接。这可以防止SSLStrip攻击。 监控您的网站监控您的网站可以帮助您检测中间人攻击或SSLStrip攻击。 避免使用公共WiFi公共WiFi很容易受到中间人攻击。因此避免使用公共WiFi并使用VPN建立安全连接。
