找回密码
 骑士注册

QQ登录

微博登录

搜索
❏ 站外平台:

tag 标签:

相关文章

  • 让 Chrome 不再显示 https 页面中的 http 请求警报

    HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错: Mixed Content: The page at https://www.taobao.com/ was loaded over HTTPS, but requested an insecure image http://g.alicdn.com/s.gif. This content should also be served over HTTPS. HTTPS改造之后,我们可以在很多页面中看到如下警报: 很多运营对 https 没有技术概念,在填入的数据中不免出现 http 的资源,体系庞大,出现疏忽和漏洞也是不可避免的。 CSP设置upgrade-insecu

    2015-09-07 14:20     李靖

  • 作为 HTTPS 的骨灰粉,怎么可以不加入 HSTS 预载入列表

    自从关注了 HTTPS,Linux 中国就成了 HTTPS 的铁杆粉丝了,不但传播了很多 HTTPS 相关的文章,而且身体力行的将 http://linux.cn也切换到了 https://linux.cn。非但如此,还激进地配置了 HSTS策略。 HSTS 是什么? 如果一个 web 服务器支持 HTTP 访问,并将其重定向到 HTTPS 访问的话,那么访问者在重定向前的初始会话是非加密的。举个例子,比如访问者输入 http://www.foo.com/ 或直接输入 foo.com 时。 这就给了中间人攻击的一个机会,重定向可能会被破坏,从而定向到一个恶意站点而不是应该访问的加密页面。 HTTP 严格传输安全(HSTS

    2015-12-18 09:00     wxy

  • 为什么 Chrome 会说你的 SHA-2 证书链是“肯定不安全的”

    假如你已经完全配好了你的 SSL:使用了强加密算法、禁用了废弃的协议,而且你提供了100% SHA-2的证书链。SSL Labs给了你一个 A+ 评分,shaaaaaaaaaaaaa.com也没发现你使用了 SHA-1。但是,有些情况下,当你访问你的网站时,Chrome 仍旧会在 URL 栏处显示一个红叉,并且说你的网站提供了 SHA-1 证书,是肯定不安全的(affirmatively insecure) 的: 这可能吗?不幸的是,有可能。你的服务器所发送的证书也许并不是你的浏览器所使用的。在迁移到 SHA-2 的过程中不应该是这样的,但是由于某些 CA 糟糕的做法和用户使用了老旧的软件,有时候

    2015-10-10 14:14     wxy

  • RHCE 系列(八):在 Apache 上使用网络安全服务(NSS)实现 HTTPS

    如果你是一个负责维护和确保 web 服务器安全的系统管理员,你需要花费最大的精力确保服务器中处理和通过的数据任何时候都受到保护。 RHCE 系列:第八部分 - 使用网络安全服务(NSS)为 Apache 通过 TLS 实现 HTTPS 为了在客户端和服务器之间提供更安全的连接,作为 HTTP 和 SSL(Secure Sockets Layer(安全套接层))或者最近称为 TLS(Transport Layer Security(传输层安全))的组合,产生了 HTTPS 协议。 由于一些严重的安全漏洞,SSL 已经被更健壮的 TLS 替代。由于这个原因,在这篇文章中我们会解析如何通过 TLS 实现你 web 服务

    2015-12-06 09:00     Gabriel Cánepa, ictlyh

  • 使用 BoringSSL 优化 HTTPS 加密算法选择

    前不久,一位朋友在我博客评论中,问到:类似于 Google 那样电脑访问使用 AES,手机访问使用 CHACHA20 的算法是怎么实现的。最近我研究了一下这个问题,现在我的博客也支持这个特性了。今天抽空介绍一下我的实现步骤,供喜欢折腾的朋友们参考。 对称内容加密 我们知道,每个 TLS 会话都是在握手阶段通过非对称加密得出对称加密密钥,而本次会话双方一直会用这个密钥进行流量的对称加密。这样做是出于性能考虑,毕竟对称加密速度要快得多,更适合全流量使用。 对称加密算法有流式、分组两种。RC4 就是一个常见的流式加密算法,不过已被证

    2015-10-19 09:24     Jerry Qu

  • Let's Encrypt 已被所有主流浏览器所信任

    旨在让每个网站都能使用 HTTPS 加密的非赢利组织 Lets Encrypt 已经得了 IdenTrust的交叉签名,这意味着其证书现在已经可以被所有主流的浏览器所信任。从这个里程碑事件开始,访问者访问使用了Lets Encrypt 证书的网站不再需要特别配置就可以得到 HTTPS 安全保护了。 Lets Encrypt 的两个中级证书 Lets Encrypt Authority X1 和 Lets Encrypt Authority X2 得到了交叉签名。Web 服务器需要在证书链中配置交叉签名,客户端会自动处理好其它的一切。 你现在可以在此体验一下使用新的交叉签名的中级证书所签发证书的服务器。 越来越多的重

    2015-10-21 19:35     wxy

  • 主流浏览器将在 2016 年初停止支持 RC4

    微软、Google和Mozilla宣布,他们计划于2016年初在各自的浏览器永久性的终止RC4加密算法的支持。针对RC4加密算法的攻击正日益变得实用,破解所需的时间越来越短,在两年之内从数千小时减少到数天。 Mozilla宣布它将在明年1月26日发布Firefox 44时淘汰RC4,微软和Google也都计划在明年1月到2月之间从IE11和Edge以及Chrome中移除RC4。 研究人员早就知道,RC4中的统计偏差让攻击者可能预测出加密算法编码信息使用的部分伪随机比特。2013年,科学家设计出利用弱点的攻击方法,但需要2000小时才能正确猜测出认证cookie包含的字符。现在,在改进

    2015-09-03 07:40     

  • 网上订票惊爆信息泄露风险,你还敢在网上订票吗?

    据外媒 Softpedia 消息,移动数据领域的初创企业 Wandera 最近的一份调查报告显示,包括加拿大航空、亚航等四家大型航空公司在内的全球十余家航空、铁路、出租、票务等方面的大型公司由于没有部署移动端 HTTPS 访问,导致用户信息存在巨大的泄露风险!这些公司往往都已经在其网站上部署了 HTTPS 服务,但是其提供的针对手机的移动网站和 app 客户端的访问上,却没有相应的也使用 HTTPS 服务。这就导致了它们为每日高达50万用户访问所提供的服务存在着巨大的信息泄露风险。 尤其是当用户使用不可靠的公用互联网接入,如咖啡馆、商场的免费

    2015-12-14 16:00     wxy

  • Google Chrome 46 稳定版发布:不再警示微小错误的 HTTPS 链接

    基于开源Chromium 46网页浏览器,今天Google面向Windows、Mac和Linux用户推送了Chrome 46版本更新(v46.0.2490.71),主要修复了部分安全漏洞并对后台性能进行了优化,但遗憾的是Google并未公布更新日志,Chrome团队代表Tina Zhou表示:Chrome团队非常愉悦的宣布向Windows、Mac和Linux平台推出稳定版Chrome 46,涵盖了一系列修复和改善。 Google Chrome 46.0.2490.71修复了24个安全漏洞,包括Blink引擎的跨区域问题, ServiceWorker和PDFium组件的use-after-free漏洞,LocalStorage的信息泄露和CSS字体的CORS支路等等。 在新版中Chrome开

    2015-10-14 09:17     Marius Nestor

返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。