回覆列表
  • 1 # 網路圈

    相信大家對於HTTP與HTTPS協議都或多或少聽說過,HTTP協議在Web中的應用是十分廣泛的,只不過最近幾年HTTPS慢慢火熱起來了,大到BAT這類企業的網站預設都是HTTPS協議,小到一些個人部落格網站也啟用了HTTPS來嚐鮮。

    我們都聽人家說過,HTTPS比HTTP要安全、防劫持,那為什麼HTTPS就能做到這點呢,而HTTP就不行呢?

    其實在HTTP協議中,所有的資料都是明文傳輸的,試想一下,如果駭客攔截到了請求,那所有的資料都可以直接看到,很不安全。HTTPS雖不能稱之為絕對的安全,但是一般駭客想劫持也很難,因為HTTPS在HTTP的基礎上再加了一個SSL層,資料是加密傳輸的。

    常見的劫持手段有以下幾種,我來來詳細看看HTTPS是如何規避的。

    1、DNS劫持 / 中間人劫持

    有這樣一個場景:我們訪問 www.abc.com 時,要先過DNS查找出此域名對應的IP地址。假設DNS被人劫持了,將 abc.com 這個域名本該繫結的IP(1.2.3.4)換成了駭客的伺服器IP(5.6.7.8)。那我們訪問abc.com 時其實是和駭客的伺服器進行通訊的,駭客可以在伺服器裡做一些操作,比如說偽造一個網站,或者將使用者請求再傳到 www.abc.com 真實的伺服器中,以此來獲取使用者的敏感資訊。

    上面這種場景一旦存在,就構成了中間人攻擊。駭客透過劫持了DNS,將使用者的域名繫結到了一個非源站的IP上,以此達到劫持的目的。

    這在HTTP協議下就直接被劫持了,但在HTTPS協議下就不行。因為駭客的伺服器要提供一個CA證書,這樣才能保證客戶端(即訪客)和伺服器間建立SSL連線,而這個CA證書是由國際第三方機構頒發的,無法偽造!如果駭客伺服器做了自簽名證書,那訪客在連線到駭客伺服器時,瀏覽器也會提示你網站證書不可靠,如下圖示:

    就算繼續訪問,內容在傳輸過程中是無法被解密的。

    請注意:大家千萬不要安裝一些不受信任的證書!如果安裝了不受信任的證書,那此證書頒發方就能解析你的HTTPS請求,很危險。

    開啟了HTTPS後,就建議把HTTP協議給停了,或者強制重定向到HTTPS協議。

    2、內容資料及流量劫持

    前面說到了,HTTPS在HTTP的基礎上加了SSL層,資料在傳輸過程中是加密的,加密方式採取的是非對稱加密,安全係數很高。所以在資料劫持上不太可能。

    在以前我們還經常看到這種現象,瀏覽器裡開啟一個網頁,然後右下角彈出一個運營商推廣的廣告,十分噁心,這就是流量劫持。如果用HTTPS協議則不會出現這種廣告植入的情況了,這也是由於HTTPS策略決定的,比如說:

    HTTPS協議的網站中無法引用HTTP協議的資源;

    SSL協議提供資料加密與完整性校驗,確保了資料的機密性和完整性。

  • 2 # 抬頭遠望

    HTTPS的話一般就是網站備案後,申請免費的SSL證書或者購買SSL加密證書,然後在NGINX或者其他分發代理請求的伺服器中開啟SSL加密訪問,關閉http這種明文訪問,以保證資料的安全。

    這需要你去網站進行申請或購買SSL證書,對請求資料進行保護,這是網站常用的一種技術手段,還有一種就是在專案中對請求進行加密校驗,這一種是屬於伺服器的一種加密方式,同過技術手段,都可以防止網站被劫持!

  • 3 # Summy薇

    HTTPS是基於tls和ssl加密的http協議,網路傳輸是加密的,因此它的安全是顯而易見的,包括防竊聽、篡改、劫持。

    對於網站惡意劫持行為百度搜索也是出了相應的演算法_烽火演算法,專門打擊這一行為,防止流量劫持!

    而防止網站流量被劫持問題採用https協議也是最有力的一種方法;

    HTTPS是現行架構下最安全的解決方案,站在安全形度來看,主要有以下幾個好處:

    1、使用HTTPS協議可認證使用者和伺服器,確保資料傳送到正確的客戶機和伺服器;

    2、HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,要比http協議安全,可防止資料在傳輸過程中不被竊取、改變,確保資料的完整性。

    3、HTTPS是現行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。

    友情小提示:

    HTTPS協議的安全是有範圍的,在駭客攻擊、拒絕服務攻擊、伺服器劫持等方面幾乎起不到什麼作用。

    直觀來講https的優點主要以下幾點:

    1、HTTPS具有更好的加密效能,避免使用者資訊洩露;

    2、HTTPS複雜的傳輸方式,降低網站被劫持的風險;

    3、HTTPS綠鎖表示可以提升使用者對網站信任程度;

    4、基礎成本可控,證書及伺服器已經有了成型的支援方案;

    5、網站載入速度可以透過cdn等方式進行彌補,但是安全不能忽略;

    6、HTTPS是網路的發展趨勢,早晚都要做;

    7、可以有效防止山寨、映象網站;

  • 4 # 通用Excel

    HTTPS,是HTTP over SSL的意思,SSL協議是Netscape用於解決傳輸層安全問題的網路協議,其核心是基於公鑰密碼學理論實現了對伺服器身份認證、資料的私密性保護以及對資料完整性的校驗等功能。

    網站伺服器和客戶端使用協商出的會話金鑰對互動的資料進行加密/解密操作,對於HTTP協議來說,就是將HTTP請求和應答經過加密之後再發送到網路上。

    由此可見,因為SSL協議提供了對伺服器的身份認證,所以DNS劫持導致連線錯誤伺服器的情況將會被發現進而終止連線,最終導致DNS挾持攻擊無法實現。此外SSL協議還提供資料的加密和完整性校驗,這就解決了關鍵資訊被嗅探以及資料內容被修改的可能。

  • 中秋節和大豐收的關聯?
  • 形容很久之前的成語?