Chinaunix首页 | 论坛 | 博客
  • 博客访问: 563349
  • 博文数量: 287
  • 博客积分: 27
  • 博客等级: 民兵
  • 技术积分: 547
  • 用 户 组: 普通用户
  • 注册时间: 2012-01-01 20:20
文章分类

全部博文(287)

文章存档

2015年(1)

2014年(95)

2013年(90)

2012年(101)

分类:

2012-05-14 23:20:15

https被认为是安全的http,那么是不是使用https访问,就完全安全了呢?答案是否定的,http安全访问协议并不安全。
目前窃取https访问数据的常用方法主要有两种:url欺骗和中间人代理。这里分别说明一下这两种方法的实现原理,以及预防机制。
URL欺骗:
该方法第一次被提出是在2009年黑帽大会上由Moxie Marlinspike提出,并提供了一个sslstrip的python脚本来实现。该方法的思想基于:大部分的https网站访问都是通过http跳转过去的,当用户要访问https网站的时候,http服务器会将用户的请求locate到https的URL。
      欺骗的实现就在用户请求https的时候,中间人可以将http返回的https重定向请求修改为重定向到http请求,这样一来,用户之后的访问还是http的,并没有使用https来进行数据传输。
      解决方法:直接在浏览器中输入https访问资源。
中间人代理:
                 该方法的思想比较简单,就是在用户进行https请求的时候,中间人接受用户请求,同时向真实的服务器发送https请求。并对服务器返回的数据,发回给用户。该方法要求中间人提供证书。
解决方法:进行https访问的时候,验证证书是否是真实的服务器或者使用双边证书验证机制。
               
阅读(462) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~