【思维导图】深入理解https原理、过程 -pg电子游戏网站

2顶
0踩




我们经常会遇到页面被运营商插入小广告这种事情(数据被篡改),可想而知,http是有多么不安全。

如何做到的?
答:只需要设定相应的dns,做一个中间人攻击,再将修改后的数据返回。

那么:解决上面问题需要考虑哪些因素:

https的设计的时候就主要考虑了以上的主要因素:
  • 数据加密 --传输内容进行混淆
  • 非对称加密(也叫公钥加密)
    对称加密(也叫密钥加密)
  • 身份验证 --通信双方验证对方的身份真实性
  • 数据完整性保护 --检测传输的内容是否被篡改或伪造
因此切换使用https,就可以防止页面被运营商篡改问题。
https概念如下:

简单用图表示:

安全http的实现


数据完整性:

数字签名是只有信息发送者才能产生的别人无法伪造的一段文本,这段文本是对信息发送者发送信息真实性的一个有效证明,具有不可抵赖性。
报文的发送方从报文文本生成一个128位的散列值(或称为报文摘要活哈希值),发送方使用自己的私钥对这个摘要值进行加密来形成发送方的数字签名。
然后这个数字签名将作为报文的附件一起发送给报文的接收方。
报文的接收方首先从接收到的原始报文中计算出128位的散列值,再用发送方的公钥来对报文附加的数字签名进行解密。
如果两次得到的结果是一致的那么接收方可以确认该数字签名是发送方的,同时确认信息是真实的

https数据交互过程:
http中没有加密机制,可以通过ssl(secure socket layer 安全套接层)或tls(transport layer security 安全层传输协议)的组合使用,加密http的通信内容。
ssl工作在osi七层模型中的表示层,tcp/ip 四层模型的应用层。

ssl记录协议操作:
  • 分段 将每个上层消息分解成不大于2^14(16384)位,然后有选择的进行压缩
  • 添加mac 在压缩数据的基础上计算mac
  • 加密 消息加上mac用对称加密方法加密
  • 添加ssl记录头 内容类型(8位),主版本(8位),副版本(8位),压缩长度(16位)
ssl握手过程:

ssl协议两个重要概念,ssl会话,ssl连接;
ssl连接是点到点的连接,而且每个连接都是瞬态的,每一个链接都与一个会话关联。
ssl会话是一个客户端和一个服务器之间的一种关联,会话由握手协议(handshake protocol)创建,所有会话都定义了一组密码安全参数,这些安全参数可以在多个连接之间共享,会话可以用来避免每一个链接需要进行的代价高昂的新的安全参数协商过程。
好的,今天的介绍先到这里了哈。
  • 大小: 412 kb
  • 大小: 314.9 kb
  • 大小: 271.4 kb
  • 大小: 237.5 kb
  • 大小: 5.5 kb
  • 大小: 45 kb
  • 大小: 5.4 kb
  • 大小: 18.8 kb
  • 大小: 23.5 kb
来自:
2
0
评论 共 0 条 请登录后发表评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • 利用各种验证控件对用户的注册信息进行验证,比如:必填信息,控制长度,规格的控制等

  • asp.net中基于forms验证的角色验证授权asp.net的身份验证有有三种,分别是"windows | forms | passport",其中又以forms验证用的最多,也最灵活。forms 验证方式对基于用户的验证授权提供了很好的支持,可以通过一个登录页面验证用户的身份,将此用户的身份发回到客户端的cookie,之后此用户再访问这个web应用就会连同这个身份cooki

  • asp.net的身份验证有有三种,分别是"windows | forms | passport",其中又以forms验证用的最多,也最灵活。       windows: 使用iis验证方式       forms: 使用基于窗体的验证方式       passport: 采用passport cookie验证模式       none: 不采用任何验证方式 1、

  • no 验证内容 等级 1 2 3 v1.1 验证除了认定可以公开的资源,其它资源需要登录认证后才能访问。 v v v v1.2...

  • 构建基于forms的验证机制过程如下:1,设置iis为可匿名访问和asp.net web.config中设置为form验证2,检索数据存储验证用户,并检索角色(如果不是基于角色可不用)3,使用formsauthenticationticket创建一个cookie并回发到客户端,并存储角色到票据中,如:formsauthentication.setauthcookie(username,true |...

  • asp.net安全模式根据所请求资源的类型,iis能够自己处理请求,也可以不自己处理请求。如果资源请求一个aspx页面,则iis将请求经过身份验证用户(或匿名用户)的安全令牌一起传递给asp.net。接下来要发生的事情就取决于asp.net的配置。asp.net支持3种授权方法:windows,passport和form。表示asp.net自己根本不执行身份验证,完全依赖于iis身份验证。在这种情...

  • asp.net身份验证模式包括windows、forms(窗体)、passport(护照)和none(无)。重点内容 windows身份验证 常结合应用程序自定义身份验证使用使用这种身份验证模式时,asp.net依赖于iis对用户进行验证,并创建一个windows访问令牌来表示已通过验证的标识。 passport身份验证。 使用这种身份验证模式时,asp.net使用microsoft passp

  • 安全验证一、asp.net的安全模式1.安全的必要性:(1)构造特殊的链接地址,导致文件内的数据泄漏。(2)数据库泄露。(3)安全防范的首要策略:所有的http访问都要经过iis,所以限制iis的安全性是关键。2.安全模式的概念:根据所请求资源的类型,iis能够自己处理请求,也可以不自己处理请求。如果资源请求一个aspx页面,则iis将请求经过身份验证用户(或匿名用户)的安全令牌一起传递给asp....

  • 一、asp.net 支持的四种验证方式1.windows: iis验证,在内联网环境中非常重要。2.passport: 微软集中式验证,一次登录便可访问所有成员站点,需要收费。3.form:窗体验证,验证帐号/密码,web编程最佳最流行的验证方式。4.none:表示asp.net自己根本不执行身份验证,完全依赖iis身份验证。二、forms元素的属性三、使用1.创建几个页面2.配置文件 3.登录-...

  •       在网络经常看到网站被挂马、澳门pg电子游戏主页被修改的新闻,其实这些问题可能是多方面的,服务器,网站程序等等。。。但是现在溢出已经被人们重视和服务器的不断完善,服务器系统漏洞也不是那么容易发掘,当然也要保证第三方的软件安全。做项目也有一段时间了。在程序中也遇到很多安全方面的问题。也该总结一下了。这个项目是一个cms系统。系统是用asp.net做的。开发的时候发现微软做了很多安全措施,只是有些新手程序员

  • 前言 在b/s系统开发中,经常需要使用“身份验证”。因为web应用程序非常特殊,和传统的c/s程序不同,默认情况下(不采用任何身份验证方式和权限控制手段),当你的程序在互联网/局域网上公开后,任何人都能够访问你的web应用程序的资源,这样很难保障应用程序安全性。通俗点来说:对于大多数的内部系统、业务支撑平台等而言,用户必须登录,否则无法访问和操作任何页面。而对于互联网(网站)而言,又有些差异,因为...

  • 定义 身份验证(authentication):确定用户是谁。 授权(authorization):确定用户能做什么,不能做什么。 身份验证 webapi 假定身份验证发生在宿主程序称中。对于 web-hosting,宿主是 iis。这种情况下使用 http module 进行验证。 验证时,宿主会创建一个表示安全上下文的主体对象(实现 iprincipal),将它附加到当前线程。主体对...

  • 很详细,值得收藏!

  • 百度一下”asp.net身份认证“,你会得到很多相关的资料,这些资料通常上来就会介绍诸如”form认证“”windows认证“等内容,而没有给出一个完整的流程。初学者对此往往一头雾水,我也曾经被坑过很多回,于是写下此文,算是复习。     现代的windows server系统都是基于严格的用户机制的,当你想操作服务器时肯定需要账号密码验证的。当我们把开发好的web应用程序部署在服务器后,用户通...

  • 《app接口之token令牌实现》转载请注明来自 傻小孩b_移动开发(http://www.jianshu.com/users/d388bcf9c4d3)喜欢的可以关注我,不定期总结文章!您的支持是我的动力哈!1、目的众所周知,在web端中,token(令牌)只是作为防止用户重复提交表单的作用而存在。但是对于app客户端而言,token却充当着另一种角色,类似现实生活中代表每个人的角色认证、或者类...

global site tag (gtag.js) - google analytics
网站地图