HTTP是明文传输的。在一个广播域内(连在同一个交换机的所有设备),所有的设备都是可以收到传输的数据(只是链路层协议会检查mac地址是否为自己,不是就丢弃)。
数据安全可能遇到窃听、篡改、发送者身份不可靠三个问题。所以 TLS层( 传输安全协议)提供加密、数字签名、和数字证书来解决这三个问题
A <------M------> B 场景:A、B两个人之间通讯,A传输信息M给B,假定是在不安全的通路上传输。
* 本文原创作者:维一零,本文属FreeBuf原创奖励计划,未经许可禁止转载 在今年的黑帽大会上,国外的一个安全研究员展示了如何通过Windows的数字签名bypass对恶意程序代码的检测。 下载大会的该演讲的ppt大概看了一下,报告分为两部分,第一部分展示数字签名的的校验“漏洞”,第二部分展示该作者自己研究实现的一个pe程序加载器,用来配合第一部分的“漏洞“bypass杀毒软件对恶意程序的检测。 本文重点在于第一部分的这个数字签名校验”漏洞“,通过回顾分析数字签名的校验来阐述这个”漏洞“的原理。 数字签名
假设你是一个公司的老板,由于公司发展良好,所以成立了很多分公司,你需要和分公司使用信件通信,信件需要通过多个站点才能送到对方手中,你们寄的信件有这样两个特点:
拜占庭将军问题(The Byzantine Generals Problem),它其实是借拜占庭将军的故事展现了分布式共识问题,还探讨和论证了解决的办法。而大多数人觉得它难理解,除了因为分布式共识问题比较复杂之外,还与莱斯利·兰伯特(Leslie Lamport)的讲述方式有关,他在一些细节上(比如,口信消息型拜占庭问题之解的算法过程上)没有说清楚。
最新版本的 Mac 默认只能使用 lldb 进行程序调试,但对于习惯使用 gdb的人来说还是希望在Mac下使用gdb调试程序才感得更爽。
这次 Code Beam,我演讲的题目是:Build a decentralized, public-verifiable DB。过去两年,区块链热热冷冷,催熟了好多流星般的 buzzword,也造就了不少值得深入探讨的概念,比如说:公开可验证 (public verifiable)。公开可验证探讨的是信任 —— 我们如何在不信任对方身份的情况下信任数据本身。互联网时代,信任是基于身份的,或者说基于权威的 —— 我们信任微信上的好友数据,google 上的搜索结果,无他,是因为数据的来源是微信 Google 这样的巨头们。我们「信任」这些巨头们,不是因为我们真的相信它们 不作恶,而是我们 别无选择,只能从经济学的角度一厢情愿它们作恶的代价大于不作恶的代价。
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的网络通信协议,它在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS的安全基础是SSL/TLS协议,它存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统提供了身份验证与加密通讯方法,被广泛用于万维网上安全敏感的通讯,例如交易支付等方面。由于HTTPS协议内容都是按照文本的方式明文传输的,就导致在传输过程中出现一些被篡改的情况。
然后,我们还学了HTTPS到底是什么,以及HTTPS真正的核心SSL/TLS是什么。最后我们还聊了聊TLS的实现,也就是OpenSSL。
上一次内容我们介绍了TLS加密原理,为什么要加密通信呢?是因为我们不希望我们的个人信息被明文传播,任何一个人只要截断我们的物理线路或者入侵到我们网络中,就能获取所有的信息。
密码学是研究如何隐密地传递信息的学科。那怎样才能隐密地传递信息呢?密码学里的答案就是对原文进行加密。主流的加密主要分成两大类:对称加密和非对称加密。
在平常的验证码, 推广邮件中, 我们通常会在最下角找到 退订链接。通常访问它, 我们就不会再收到他们发送的邮件。
在iOS开发过程中,不可避免的要和证书打交道,真机调试、App上架、打包给测试去测试等都需要搞证书。在此过程中我们会遇到很多的问题,但是如果掌握了真机调试的原理和本质;遇到问题,我们就更容易定位问题之所在,从而迅速的解决问题。
近几年,互联网发生着翻天覆地的变化,尤其是我们一直习以为常的HTTP协议,在逐渐的被HTTPS协议所取代,在浏览器、搜索引擎、CA机构、大型互联网企业的共同促进下,互联网迎来了“HTTPS加密时代”,HTTPS将在未来的几年内全面取代HTTP成为传输协议的主流。
如果大家看过速度与激情这部电影,一定对下面这一幕有深刻的印象:黑客通过远程控制上千辆的僵尸车辆,去自动拦截抢夺握有核发射密码的人! 然后掌控人类的命运。
随着交流的话题越来越深入,你也慢慢变得惶恐。你本来就是随手写着玩儿的软件,消息都是明文发送的,这万一被研究网络的同事给监听了,以后在公司还怎么混?
Https 为什么是安全的? 这可以说是一个高频面试题了。但要完全说明白这个问题,你需要具备一些前置知识。所以在本篇中,暂时不会涉及到 Https 的具体通信流程。
第一回合:消息摘要 张三和李四是生意合作伙伴,张三发现李四发送的的电子文档,有很多东西不完整,于是两人商量,需要再设计一种机制,验证“李四”发过来的消息是完整的,于是两个人约定,对数据进行消息摘要,提取关键信息,一并发送。“张三”在接收到消息的时候,也进行消息摘要,与“李四”发过来的关键性信息进行对比,验证数据完整性。
相信很多人都试过这样的经历,浏览一个正常的网站时,右下突然角弹出一堆小广告,而且这些广告的内容和你浏览的网站格格不入:
相信很多人都试过这样的经历,浏览一个正常的网站时,右下突然角弹出一堆小广告,而且这些广告的内容和你浏览的网站格格不入: 前几天还有某微博用户爆料访问github时居然也有广告: 又或者,你有没有试过因为不小心输错了某个网站的网址,出来一堆不堪入目的广告内容? 我今天还特意在家里试了一把,故意输入一个乱七八糟的网址,出来的页面让我无语,各种小广告,而且连续故意输错几个网址,都是这样: 上面说的几个事情,未必但很有可能就是运营商DNS劫持。事实上,运营商劫持几乎到了明目张胆的地步,尤其是一些N级小电信运
相信很多人都试过这样的经历,浏览一个正常的网站时,右下突然角弹出一堆小广告,而且这些广告的内容和你浏览的网站格格不入: 前几天还有某微博用户爆料访问github时居然也有广告: 又或者,你有没有试过因为不小心输错了某个网站的网址,出来一堆不堪入目的广告内容? 我今天还特意在家里试了一把,故意输入一个乱七八糟的网址,出来的页面让我无语,各种小广告,而且连续故意输错几个网址,都是这样: 上面说的几个事情,未必但很有可能就是运营商DNS劫持。事实上,运营商劫持几乎到了明目张胆的地步,尤其是一些N级小电信运营
有同学在知识星球和公众号粉丝群里面提到,希望我讲一讲 HTTPS 证书、为什么使用 Charles、Fiddler、MitmProxy 抓 HTTPS 的请求要安装证书、 requests 发送请求的时候,verify 参数除了 False/True 还能填写什么参数。今天我们就这几个问题来做一个简单的介绍。
,target越小,挖矿难度越大,挖矿难度跟目标阈值成反比。调整挖矿难度,就是调整整个目标空间在整个输出空间所占的比例。哈希函数 SHA-256 ,整个输出空间大小为 。
这次文章的主要内容是一次内部技术分享的内容,主要是关于安全通信的威胁建模,设计方案以及算法,其中涉及https。
假设有这样一个场景,你接了一个私活,帮别人做一个软件,软件没有联网功能。东西做好以后,客户还没有给钱,说要先试用一下。你选择了相信客户,把软件发送给了他。然后他就把你拉黑了。
对指定信息使用哈希算法,得到一个固定长度的信息摘要,然后再使用 私钥 (注意必须是私钥)对该摘要加密,就得到了数字签名。所谓的代码签名就是这个意思。
在说HTTP前,一定要先介绍一下HTTP,这家伙应该不用过多说明了,大家每天都在用,每一次HTTP请求,都是一次TCP连接。遗憾的是,请求的内容在TCP报文中是明文传输的,任何人截取到请求都可以读取其中的内容,很尴尬。
公开密钥基础设施( PKI, Public Key Infrastructure )逐步在国内外得到广泛应用。我们是否真的需要 PKI , PKI 究竟有什么用? 下面通过一个案例一步步地来剖析这个问
在上篇文章 HTTPS 为什么是安全的 ? (上) 中,我们借由 如何安全的传输信息 这个问题,引出了 HTTPS 中常用的密码学工具,对称加密,非对称加密,哈希,消息认证码,数字签名,证书 等等。这
利用上班摸鱼的时间编写了一个简易的即时通讯软件,并发布到了网上。过了一段时间,你在软件上突然收到一条私信。
了解 HTTPS 通信的同学都知道,在消息通信时,必须至少解决两个问题:一是确保消息来源的真实性,二是确保消息不会被第三方篡改。
导语 | 日常开发中,在用到签名的地方我们基本上总是可以看到MD5的身影。但是你真的了解它吗?本文将以探索的思路带你走进MD5。 引言 在日常开发中,在用到签名的地方,我们经常可以看到会有一个token,一般而言这个token是经过约定的MD5规则生成的,生成的php代码一般如下(其中salt是约定的一个盐值,提高签名token的安全性): $token = md5(salt . code) 可以发现token都是一个长字符串,由数字和字母构成的,例如:365e3982a117a192f5d7c9882b
在中心化的系统里面,如果数据被篡改了,几乎是没有办法验证的,因为他的数据存储在一方,其他人没有办法获取和验证。在分布式的去中心化系统里面,如比特币。每个节点(可以是一个用户的一台电脑(旷工),也可以是一组服务器集群(矿池))都有一份账本的全部信息。这样如果其中一个节点修改了数据,其他节点就会验证不通过(具体的保证机制后面会介绍),也就保证了信息的不可篡改性
很多人一提到 HTTPS,第一反应就是安全,对于普通用户来说这就足够了,对于程序员来说,有必要了解下 HTTP 到底有什么问题?HTTPS 是如何解决的?其背后的解决思路和方法是什么?下面坐下简单的描述,HTTPS 体系非常复杂,自己无法做到很详细和精准的分析。
在写上一篇《Android Keystore漫谈》时对数字证书和数字签名的区别感觉模棱两可,于是网上找了找资料发现了一篇简单易懂的文章,对证书和签名有了一个较清晰的概念:
它指的是把任意长度的数据data,通过函数f(),转换为一个长度固定的摘要digest(通常用16进制的字符串表示),
什么是摘要算法呢?摘要算法又称哈希算法、散列算法。它通过一个函数,把任意长度的数据转换为一个长度固定的数据串(通常用16进制的字符串表示)。
很多软件工程师都认为 MD5 是一种加密算法,然而这种观点其实是大错特错并且十分危险的,作为一个 1992 年第一次被公开的算法,到今天为止已经被发现了一些致命的漏洞,我们在生产环境的任何场景都不应该继续使用 MD5 算法,无论是对数据或者文件的内容进行校验还是用于所谓的『加密』。
为什么有 HTTPS?因为 HTTP 不安全! 现在的互联网已经不再是 “田园时代”,“黑暗森林” 已经到来。上网的记录会被轻易截获,网站是否真实也无法验证,黑客可以伪装成银行网站,盗取真实姓名、密码、银行卡等敏感信息,威胁人身安全和财产安全。
以下内容根据陈婧现场演讲,区块链大本营(blockchain_camp)再不改变作者的原意的情况下进行了精心的整理:
本篇文章虽然是介绍iOS开发中ipa包的签名原理。但因为签名涉及到密码学中的概念。在了解签名之前,我们需要明确一些概念。密码学中,根据加解密密钥的不同,通常把加密方式分为对称密码(对称加密)和公钥密码(非对称加密)。常见加密算法有:DES、3DES、DESX、AES、RSA、ECC。其中RSA、ECC是非对称加密算法。以下是一些必要的概念。
比特币系统是如何确定某个账户的比特币是属于谁的?谁可以支付这个账户比特币? 如果你对这个问题还不是很明白,那就一起来看看吧。 银行系统 我们先来回顾下现实的银行系统: 首先我们需要把我们的个人信息(如身份证)给银行,银行给我们开立相对应的账户,银行在开户的时候确立了对账户的所有权。 进行支付的时候,银行对交易双方完成转账(银行在开户的时候已经知道我们对应的账户)。 同时银行会对账户信息进行保密(这点其实不能保证)。 匿名账本 那么比特币如何在没有第三方银行的参与下,在确保隐私的同时如何确定账户所有权的呢?
领取专属 10元无门槛券
手把手带您无忧上云