2015年3月中旬，百度推出全站HTTPS安全加密服务，这对HTTPS的普及起到了不小的推进作用，但一直很安全的HTTPS协议为什么没能早早地在互联网上全面采用?2011年知乎上有网友给出了如下回答： 　　SSL 证书需要钱。功能越强大的证书费用越高。个人网站、小网站没有必要一般不会用。　　SSL 证书通常需要绑定 IP，不能在同一 IP 上绑定多个域名。IPv4 资源不可能支撑这个消耗。( SSL 有扩展可以部分解决这个问题

新浪科技讯 北京时间4月21日晚间消息，应用分析服务公司SourceDNA周一发布报告称，约1500项iOS应用存在“HTTPS-crippling”漏洞。该漏洞允许黑客截获用户的加密信息，如密码、银行账号或其他高度敏感信息。　　SourceDNA预计，有200多万用户安装了这些存在安全隐患的应用，如Citrix OpenVoice Audio Conferencing、阿里巴巴(Alibaba.com)的移动应用、KYBankAgen

　    一、背景描述　　最近波兰CERT一篇名为的文章引起我们的注意，原文地址：(https://www.cert.pl/news/8019/langswitch_lang/en)，报告中写到：“很多家用路由器存在未授权的远程修改配置漏洞导致了这次事件的发生。黑客通过在网上银行页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码，最终窃取了用户银行里面的钱。”　　前两天微信公众号网站

HTTP协议是什么?　　简单来说，就是一个基于应用层的通信规范：双方要进行通信，大家都要遵守一个规范，这个规范就是HTTP协议。　　HTTP协议能做什么?　　很多人首先一定会想到：浏览网页。没错，浏览网页是HTTP的主要应用，但是这并不代表HTTP就只能应用于网页的浏览。HTTP是一种协议，只要通信的双方都遵守这个协议，HTTP就能有用武之地。比如咱们常用的QQ，迅雷这些软件，都会使用HTTP协议(还包括其他的协议)。　　HTTP协议如何工作?　　大家都知道一般的通信流程：首先客户端发送一个请求(request)给服务器，服务器在接收到这个请求后将生成一个响应(response)返回给客户端。　　在这个通信的过程中HTTP协议在以下4个方面做了规定：　　1. Request和Response的格式　　Request格式：　　HTTP请求行　　(请求)头　　空行　　可选的消息体　　注：请求行和标题必须以 作为结尾(也就是，回车然后换行)。空行内必须只有而无其他空格。在HTTP/1.1 协议中，所有的请求头，除Host外，都是可选的。　　实例：　　GET / HTTP/1.1　　Host: gpcuster.cnblogs.com　　User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10　　Accept: text/html

　　近日，国家互联网应急中心发布报告，其中披露，针对我国境内网站的仿冒页面近10万个!你知道吗?曾有受害者登陆假支付页面，网银的钱全被取走!银联提醒：网购进入支付页面，网址前缀会变成https，表示已加密;若仍是http，一定警惕!

最近互联网的安全问题被多次提起，在刚刚过去的3.15晚会上曾对免费Wifi的安全问题进行报道和曝光，同时各大网站也在报道百度推出的全站https，但是很少有网站能够把https用最简单的话或者图文解释清楚，这看起来是一个技术问题，但是却和我们每个人的隐私息息相关，所以在这里有必要多了解下。我们每天使用互联网，通过浏览器在网页上的所有操作行为都会通过http协议进行传输，这种传输是没有加密的，简单说就是你在浏览器的上网记录，这些信息是可以在传输的过程中被截取的，所以就存在着一定的不安全性。那么，百度这次是的https就是一种加密协议，即使在传输的过程中被截取，也是加密的形式，所以被截取的信息都是无用的数据。用最简单的例子，假设我们在百度中搜索某个词，点击提交查询后，要等到数据的返回，如下图a所示，如果是采用https协议传输，那么有经过步骤1-5所示的加密过程，可以保证在数据返回的过程中不会被截取，如下图b所示，如果是采用http协议的，则是直接进行数据传输，那么数据在返回的过程中可能被截取，这些数据被截取后就可以被他人所有。　　第一，https一般在哪些情况下比较常使用?一般情况下

　　10月24日和25日，虎嗅君参加了GeekPwn(极棒)安全极客嘉年华活动。　　嗯...说是嘉年华，其实就是一场智能设备破解Show。对于虎嗅君这样不搞技术的媒体同学，也就只能当一场Show看了。对于真正的安全极客们来说，GeekPwn(极棒)是一场智能设备破解挑战赛。当虎嗅君正在观看智能硬件破解Show的时候，来自世界各地的顶尖极客们正在Pwn(破解)掉手中的智能设备。　　作为最为普及的智能设备，智能手机是极客们的首要目标。先是曾

　1、HTTPS的工作原理　　HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。TLS/SSL协议不仅仅是一套加密传输的协议，更是一件经过艺术家精心设计的艺术品，TLS/SSL中使用了非对称加密，对称加密以及HASH算法。握手过程的具体描述如下：　　1.浏览器将自己支持的一套加密规则发送给网站。　　2.网站从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。　　3.浏览器获得网站证书之后浏览器要做以下工作：　　a) 验证证书的合法性(颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等)，如果证书受信任，则浏览器栏里面会显示一个小锁头，否则会给出证书不受信的提示。　　b) 如果证书受信任，或者是用户接受了不受信的证书，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。　　c) 使用约定好的HASH算法计算握手消息，并使用生成的随机数对消息进行加密，最后将之前生成的所有信息发送给网站。　　4.网站接收浏览器发来的数据之后要做以下的操作：　　a) 使用自己的私钥将信息解密取出密码，使用密码解密浏览器发来的握手消息，并验证HASH是否与浏览器发来的一致。　　b) 使用密码加密一段握手消息，发送给浏览器。　　5.浏览器解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手过程结束，之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。 这里浏览器与网站互相发送加密的握手消息并验证，目的是为了保证双方都获得了一致的密码，并且可以正常的加密解密数据，为后续真正数据的传输做一次测试。另外，HTTPS一般使用的加密与HASH算法如下：　　非对称加密算法：RSA，DSA/DSS　　对称加密算法：AES，RC4，3DES　　HASH算法：MD5，SHA1，SHA256 HTTPS对应的通信时序图如下：　　 　　HTTPS协议和HTTP协议的区别： (具体HTTP协议的介绍可见参考资料2)　　https协议需要到ca申请证书，一般免费证书很少，需要交费。　　http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。　　http和https使用的是完全不同的连接方式用的端口也不一样

一：什么是https　　SSL(Security Socket Layer)全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。　　SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。　　提示：SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。因此它的URL(统一资源定位器)格式为“https://网站域名”。　　二：https的本地测试环境搭建　　1：win7/windows server 2008R2中 IIS7/IIS7.5 搭配https本地测试环境　　2:windows server 2003中IIS6.0 搭配https本地测试环境　　三：asp.net 结合 https的代码实现　　https是由IIS，浏览器来实现的传输层加密，不需要特意的编码。。。平时怎么在asp.net里面编写代码，就怎么写。　　很可能要问，为什么我的站点使用了https之后，用firebug之类的软件查看值提交的时候，还是会显示明文呢?例如，博客园的登陆界面提交。　　http://passport.cnblogs.com/login.aspx　　 　　为什么这里还是能看到明文的用户名和密码呢?　　原因是因为：https(ssl)的加密是发生在应用层与传输层之间，所以，在传输层看到的数据才是经过加密的，而我们捕捉到的http post的，是应用层的，是还没经过加密的数据。　　加密的数据只有客户端和服务器端才能得到明文　　客户端到服务端的通信是安全的　　支付宝也是https的，但是他的同时也增加了安全控件来保护密码， 以前认为这个只是用来防键盘监听的，其实，看下面http post截获的密码：这个安全控件把给request的密码也先加了密，紧接着https再加次密，果然是和钱打交道的，安全级别高多了:)　　 　　四：http网站转换成https网站之后遇到的问题　　整站https还是个别的页面采用https?网站的连接是使用相对路径?还是绝对路径?　　如果是整站都是https

在之前介绍的流量劫持文章里，曾提到一种『HTTPS 向下降级』的方案 —— 将页面中的 HTTPS 超链接全都替换成 HTTP 版本，让用户始终以明文的形式进行通信。　　看到这，也许大家都会想到一个经典的中间人攻击工具 —— SSLStrip，通过它确实能实现这个效果。　　不过今天讲解的，则是完全不同的思路，一种更有效、更先进的解决方案 —— HTTPS 前端劫持。　　后端的缺陷　　在过去，流量劫持基本通过后端来实现，SSLStrip 就是个典型的例子。　　类似其他中间人工具，纯后端的实现只能操控最原始的流量数据，这严重阻碍了向更高层次的发展，面临众多难以解决的问题。　　动态元素怎么办?　　如何处理数据包分片?　　性能消耗能否降低?　　......　　动态元素　　在 Web 刚出现的年代里，SSLStrip 这样的工具还是大有用武之地的。那时的网页都以静态为主，结构简单层次清晰。在流量上进行替换，完全能够胜任。　　然而，如今的网页日益复杂，脚本所占比重越来越多。如果仅仅从流量上着手，显然力不从心。　　var protocol = 'https';　　document.write('Login');　　即使非常简单的动态元素，后端也毫无招架之力。　　分片处理　　分块传输的道理大家都明白。对于较大的数据，一口气是无法传完的。客户端依次收到各个数据块，最终才能合并成一个完整的网页。　　 　　由于每次收到的都是残缺的碎片，这给链接替换带来很大的麻烦。加上不少页面并非标准的 UTF-8 编码，因此更是难上加难。　　为了能顺利进行，中间人通常先收集数据，等到页面接收完整，才开始替换。　　 　　如果把数据比作水流，这个代理就像大坝一样，拦截了源源不断往下流的水，直到蓄满了才开始释放。因此，下游的人们需忍受很久的干旱，才能等到水源。　　性能消耗　　由于 HTML 兼容众多历史遗留规范，因此替换工作并非是件轻松事。　　各种复杂的正则表达式，消耗着不少的 CPU 资源。尽管用户最终点击的只是其中一两个链接，但中间人并不知道将会是哪个，因此仍需分析整个页面。这不得不说是个悲哀。　　前端的优势　　如果我们的中间人能打入到页面的前端，那么情况会不会有所改善呢?　　分片处理　　首先，要派一名间谍到页面里。这是非常容易办到的：　　 　　不像超链接遍布在页面各处，脚本插入到头部即可运行了。所以我们根本不用整个页面的数据，只需改造下第一个 chunk 就可以，后续的数据仍然交给系统转发。　　因此，整个代理的时间几乎不变!　　动态元素　　很好，我们轻易渗透到页面里。但接着又如何发起进攻?　　既然到了前端里，方法就相当多了。最简单的，就是遍历超链接元素，将 https 的都替换成 http 版本。　　这个想法确实不错，但仍停留在 SSLStrip 思维模式上。还是『替换』这条路，只是从后端搬到前端而已。　　尽管这个方法能胜任大多场合，但仍然不是最完美的。我们并不知道动态元素何时会添加进来，因此需要开启定时器不断的扫描。这显然是个很挫的办法。　　性能优化　　事实上，超链接无论是谁产生的、何时添加进来的，只要不点击，都是不起作用的。所以，我们只需关心何时去点击就可以 —— 如果我们的程序，能在点击产生的第一时间里控制住现场，那么之后的流程就可由我们决定了。　　听起来似乎很玄乎，不过在前端，这只是小菜一碟的事。点击，不过个事件而已。既然是事件，我们用最基础的事件捕获机制，即可将其轻松拿下：　　document.addEventListener('click'

上海(2013 年 10 月 14日)—— 网银用户越来越多，网络欺诈行为时刻考验着银行的安全策略。保护用户的敏感信息和资产安全是银行的重大课题。虽然动态口令等策略加强了用户的使用安全，但 也增加的认证环节、还需记忆多个密码等因素也大大减弱了网上银行的便捷性，另外，钓鱼网站的仿真度越来越高，其程度足以欺骗业内人士，甚至还有网站使用了 不可信证书。此类情况都是用户使用安全的威胁。　　越来越多的网站特别是金融领域开始部署 GlobalSig

　　一、什么是 SSL 证书，什么是 HTTPS 网站?　　SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变，即数据的完整性，现已成为该

  IIS7怎么导入SSL证书申请？2008系统IIS7证书导入?如果需要使用SSL方式的话，就需要导入SSl证书才能使用。前一篇经验小编给大家查看了如何给2008系统IIS7申请证书，一般发送证书申请之后。等待1到2个工作日会把证书发到您的证书申请的邮箱里面，收到之后，进行导入证书（cer 格式）即可，下面继续给大家看下证书怎么进行导入(Windows2008系统证书如何申请：jingyan.baidu.com/article/4dc408489cefb0c8d946f1e0.html） 百度经验:jingyan.baidu.com工具/原料Windows2008  IIS  SSL证书百度经验:jingyan.baidu.com导入证书申请文件1打开IIS信息管理器之后，同样找到“服务器SSL证书”如下图 2015-11-16

221

  网站使用SSL，通过SSL证书申请，然后导入之后。我们需要对网站进行设置才能正常使用SSL证书，具体如何操作让网站启用SSL呢，本经验以一个网站添加SSL主机头的方式为例来，网站启用SSL服务器安全证书。(如果没有证书的，请参考前面经验，（如何申请服务器SSL证书jingyan.baidu.com/article/4dc408489cefb0c8d946f1e0.html）工具/原料Windows2008  SSL服务器证书百度经验:jingyan.baidu.com网站启用SSL1     打开你需要启用SSL证书的网站，右键选择“编辑绑定‘设置网站主机头，如下图 2015-11-16

306

 扒一扒HTTPS网站的内幕 今年6月，维基媒体基金会发布公告，旗下所有网站将默认开启HTTPS，这些网站中最为人所知的当然是全球最大的在线百科-维基百科。而更早时候的3月，百度已经发布公告，百度全站默认开启HTTPS。淘宝也默默做了全站HTTPS。网站实现HTTPS，在国外已经非常普及，也是必然的趋势。Google、Facebook、Twitter等巨头公司早已经实现全站HTTPS，而且为鼓励全球网站的HTTPS实

2015-11-16

308

　　随着互联网应用的普及和用户安全意识的提高，越来越多的网站开始安装SSL证书来加密客户端和服务器端的数据传输，保障机密数据和个人隐私信息不被盗取和篡改。 很多用户在安装SSL证书后，在进行https访问测试的时候，发现浏览器地址栏出现的加密锁呈黄色，点击其提示”此页中包含其他不安全的资源，他人能在传输过程中查看这些资源，攻击者也可以进行修改，从而改变网页的外观”问题，如何解决网站安装安装SSL证书，地址栏加密锁提示”此页中包含其他不安