HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错: Mixed Content: The page at https://www.taobao.com/ was loaded over HTTPS, but requested an insecure image http://g.alicdn.com/s.gif. This content should also be served over HTTPS. HTTPS改造之后,我们可以在很多页面中看到如下警报: 很多运营对 https 没有技术概念,在填入的数据中不免出现 http 的资源,体系庞大,出现疏忽和漏洞也是不可避免的。 CSP设置upgrade-insecu
2015-09-07 14:20 李靖
前不久,一位朋友在我博客评论中,问到:类似于 Google 那样电脑访问使用 AES,手机访问使用 CHACHA20 的算法是怎么实现的。最近我研究了一下这个问题,现在我的博客也支持这个特性了。今天抽空介绍一下我的实现步骤,供喜欢折腾的朋友们参考。 对称内容加密 我们知道,每个 TLS 会话都是在握手阶段通过非对称加密得出对称加密密钥,而本次会话双方一直会用这个密钥进行流量的对称加密。这样做是出于性能考虑,毕竟对称加密速度要快得多,更适合全流量使用。 对称加密算法有流式、分组两种。RC4 就是一个常见的流式加密算法,不过已被证
2015-10-19 09:24 Jerry Qu
如果你是一个负责维护和确保 web 服务器安全的系统管理员,你需要花费最大的精力确保服务器中处理和通过的数据任何时候都受到保护。 RHCE 系列:第八部分 - 使用网络安全服务(NSS)为 Apache 通过 TLS 实现 HTTPS 为了在客户端和服务器之间提供更安全的连接,作为 HTTP 和 SSL(Secure Sockets Layer(安全套接层))或者最近称为 TLS(Transport Layer Security(传输层安全))的组合,产生了 HTTPS 协议。 由于一些严重的安全漏洞,SSL 已经被更健壮的 TLS 替代。由于这个原因,在这篇文章中我们会解析如何通过 TLS 实现你 web 服务
2015-12-06 09:00 Gabriel Cánepa, ictlyh
假如你已经完全配好了你的 SSL:使用了强加密算法、禁用了废弃的协议,而且你提供了100% SHA-2的证书链。SSL Labs给了你一个 A+ 评分,shaaaaaaaaaaaaa.com也没发现你使用了 SHA-1。但是,有些情况下,当你访问你的网站时,Chrome 仍旧会在 URL 栏处显示一个红叉,并且说你的网站提供了 SHA-1 证书,是肯定不安全的(affirmatively insecure) 的: 这可能吗?不幸的是,有可能。你的服务器所发送的证书也许并不是你的浏览器所使用的。在迁移到 SHA-2 的过程中不应该是这样的,但是由于某些 CA 糟糕的做法和用户使用了老旧的软件,有时候
2015-10-10 14:14 wxy
旨在让每个网站都能使用 HTTPS 加密的非赢利组织 Lets Encrypt 已经得了 IdenTrust的交叉签名,这意味着其证书现在已经可以被所有主流的浏览器所信任。从这个里程碑事件开始,访问者访问使用了Lets Encrypt 证书的网站不再需要特别配置就可以得到 HTTPS 安全保护了。 Lets Encrypt 的两个中级证书 Lets Encrypt Authority X1 和 Lets Encrypt Authority X2 得到了交叉签名。Web 服务器需要在证书链中配置交叉签名,客户端会自动处理好其它的一切。 你现在可以在此体验一下使用新的交叉签名的中级证书所签发证书的服务器。 越来越多的重
2015-10-21 19:35 wxy
最近如果使用Chrome访问国内的很多网站的时候,比如exmail.qq.com, 你可能会注意到这样一个对话框: 这个是什么意思?访问链接没有私密性吗? 我上个邮箱,连私密性都没有了,那里面的照片应该怎么办,以前修电脑没有私密性,现在连上网都没有私密性,难道我又要红了? 等等,这里好像有点不对, 网页私密性到底是个啥,为啥会提醒我这个问题,我不是已经输了密码登录了嘛? 事情要从头说起。 一、HTTPS (安全超文本协议)怎么来的? 1997 年 CERN发明HTTP 协议并用于万维网的时候,仅仅是为了在学术界内部做一个共享数据的平台, 并没有
2015-07-10 10:10 罗志宇
当你在浏览器的地址栏上输入https开头的网址后,浏览器和服务器之间会在接下来的几百毫秒内进行大量的通信。InfoQ的这篇文章对此有非常详细的描述。这些复杂的步骤的第一步,就是浏览器与服务器之间协商一个在后续通信中使用的密钥算法。这个过程简单来说是这样的: 浏览器把自身支持的一系列Cipher Suite(密钥算法套件,后文简称Cipher)发给服务器; 服务器接收到浏览器的所有Cipher后,与自己支持的套件作对比,如果找到双方都支持的Cipher,则告知浏览器; 浏览器与服务器使用匹配的Cipher进行后续通信。如果服务器没有找到匹配的算
2015-08-17 10:39 韩锴
微软、Google和Mozilla宣布,他们计划于2016年初在各自的浏览器永久性的终止RC4加密算法的支持。针对RC4加密算法的攻击正日益变得实用,破解所需的时间越来越短,在两年之内从数千小时减少到数天。 Mozilla宣布它将在明年1月26日发布Firefox 44时淘汰RC4,微软和Google也都计划在明年1月到2月之间从IE11和Edge以及Chrome中移除RC4。 研究人员早就知道,RC4中的统计偏差让攻击者可能预测出加密算法编码信息使用的部分伪随机比特。2013年,科学家设计出利用弱点的攻击方法,但需要2000小时才能正确猜测出认证cookie包含的字符。现在,在改进
2015-09-03 07:40
基于开源Chromium 46网页浏览器,今天Google面向Windows、Mac和Linux用户推送了Chrome 46版本更新(v46.0.2490.71),主要修复了部分安全漏洞并对后台性能进行了优化,但遗憾的是Google并未公布更新日志,Chrome团队代表Tina Zhou表示:Chrome团队非常愉悦的宣布向Windows、Mac和Linux平台推出稳定版Chrome 46,涵盖了一系列修复和改善。 Google Chrome 46.0.2490.71修复了24个安全漏洞,包括Blink引擎的跨区域问题, ServiceWorker和PDFium组件的use-after-free漏洞,LocalStorage的信息泄露和CSS字体的CORS支路等等。 在新版中Chrome开
2015-10-14 09:17 Marius Nestor
维基媒体基金会发布公告称,旗下所有网站将全部默认开启HTTPS,以确保用户在不牺牲隐私和安全的前提下访问内容。目前这项工作正在进行中,这些网站里面其中最出名的当然是全球最大的在线百科网站维基百科。 默认HTTPS开启意味着用户对其包括维基百科在内的所有旗下网站的访问流量都将进行加密,这样第三方就无法知道用户浏览了什么内容,也无法获取敏感数据,从而保护用户的隐私和安全。 实际上,维基媒体基金会的这项工作在1年前就已经开始,但是由于全站默认支持HTTPS要涉及到对基础设施(HTTPS相对于HTTP要多占用服务器端的资源)和底
2015-06-15 08:30 boxi
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。
标签: