Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1007234
  • 博文数量: 442
  • 博客积分: 1146
  • 博客等级: 少尉
  • 技术积分: 1604
  • 用 户 组: 普通用户
  • 注册时间: 2010-11-04 12:52
个人简介

123

文章分类

全部博文(442)

文章存档

2017年(3)

2016年(15)

2015年(132)

2014年(52)

2013年(101)

2012年(110)

2011年(29)

分类: 网络与安全

2013-07-12 11:15:34

https被认为是安全的http,那么是不是使用https访问,就完全安全了呢?答案是否定的,http安全访问协议并不安全。
目前窃取https访问数据的常用方法主要有两种:url欺骗和中间人代理。这里分别说明一下这两种方法的实现原理,以及预防机制。
URL欺骗:
该方法第一次被提出是在2009年黑帽大会上由Moxie Marlinspike提出,并提供了一个sslstrip的python脚本来实现。该方法的思想基于:大部分的https网站访问都是通过http跳转过去的,当用户要访问https网站的时候,http服务器会将用户的请求locate到https的URL。
      欺骗的实现就在用户请求https的时候,中间人可以将http返回的https重定向请求修改为重定向到http请求,这样一来,用户之后的访问还是http的,并没有使用https来进行数据传输。
      解决方法:直接在浏览器中输入https访问资源。
中间人代理:
                 该方法的思想比较简单,就是在用户进行https请求的时候,中间人接受用户请求,同时向真实的服务器发送https请求。并对服务器返回的数据,发回给用户。该方法要求中间人提供证书。
解决方法:进行https访问的时候,验证证书是否是真实的服务器或者使用双边证书验证机制。
               
阅读(592) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~