Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3928702
  • 博文数量: 93
  • 博客积分: 3189
  • 博客等级: 中校
  • 技术积分: 4229
  • 用 户 组: 普通用户
  • 注册时间: 2009-02-02 13:29
个人简介

出没于杭州和青岛的程序猿一枚,对内核略懂一二

文章分类

全部博文(93)

文章存档

2016年(2)

2015年(3)

2014年(11)

2013年(29)

2012年(16)

2011年(5)

2010年(5)

2009年(22)

分类: 网络与安全

2012-05-12 18:42:28

https被认为是安全的http,那么是不是使用https访问,就完全安全了呢?答案是否定的,http安全访问协议并不安全。
目前窃取https访问数据的常用方法主要有两种:url欺骗和中间人代理。这里分别说明一下这两种方法的实现原理,以及预防机制。
URL欺骗:
该方法第一次被提出是在2009年黑帽大会上由Moxie Marlinspike提出,并提供了一个sslstrip的python脚本来实现。该方法的思想基于:大部分的https网站访问都是通过http跳转过去的,当用户要访问https网站的时候,http服务器会将用户的请求locate到https的URL。
      欺骗的实现就在用户请求https的时候,中间人可以将http返回的https重定向请求修改为重定向到http请求,这样一来,用户之后的访问还是http的,并没有使用https来进行数据传输。
      解决方法:直接在浏览器中输入https访问资源。
中间人代理:
                 该方法的思想比较简单,就是在用户进行https请求的时候,中间人接受用户请求,同时向真实的服务器发送https请求。并对服务器返回的数据,发回给用户。该方法要求中间人提供证书。
解决方法:进行https访问的时候,验证证书是否是真实的服务器或者使用双边证书验证机制。
               
阅读(14545) | 评论(1) | 转发(3) |
给主人留下些什么吧!~~

十七岁的回忆2012-05-14 21:40:38

博主知道怎么去掉HTTPS的安全警告 吗?