https被认为是安全的http,那么是不是使用https访问,就完全安全了呢?答案是否定的,http安全访问协议并不安全。目前窃取https访问数据的常用方法主要有两种:url欺骗和中间人代理。这里分别说明一下这两种方法的实现原理,以及预防机制。
URL欺骗:
该方法第一次被提出是在2009年黑帽大会上由Moxie Marlinspike提出,并提供了一个sslstrip的python脚本来实现。该方法的思想基于:大部分的https网站访问都是通过http跳转过去的,当用户要访问https网站的时候,http服务器会将用户的请求locate到https的URL。
欺骗的实现就在用户请求https的时候,中间人可以将http返回的https重定向请求修改为重定向到http请求,这样一来,用户之后的访问还是http的,并没有使用https来进行数据传输。
解决方法:直接在浏览器中输入https访问资源。
中间人代理:
该方法的思想比较简单,就是在用户进行https请求的时候,中间人接受用户请求,同时向真实的服务器发送https请求。并对服务器返回的数据,发回给用户。该方法要求中间人提供证书。
解决方法:进行https访问的时候,验证证书是否是真实的服务器或者使用双边证书验证机制。
阅读(14545) | 评论(1) | 转发(3) |
