清晰**https如何防範中間人攻擊
中間人可以獲取站點的證書,但不能獲取站點的私鑰,所以無法與客戶端進行金鑰協商。但中間人也不是沒有辦法,既然獲取不到站點的私鑰,那索性就不用站點的證書,比如fiddler。
fiddler會使用自己的證書,而不使用站點的證書。這需要使用者手動新增並信任fiddler的證書。
android系統https抓包問題分析
如果使用者缺乏安全知識,新增了攻擊者頒發的證書,或者沒有新增信任但是無視了安全告警,那https也無法阻止攻擊。這篇文章提到了ssl pinning(也叫客戶端預埋證書),消除了這個隱患。不過預埋也可以被xposed+justtrustme繞過,使預埋驗證被跳過。(網上有的https教程,驗證函式直接return true,或者是直接使用開源框架,而一些開源框架的驗證函式也沒寫)
ssl劫持(即類似fiddler)與ssl剝離(另一種中間人攻擊思路,且瀏覽器不會發出警告!):
hsts代表http strict transport security ,是國際網際網路工程組織iete正在推行一種新的web安全協議,它是一種幫助**將使用者從不安全的http版本重定向到安全的https版本的機制。如果你訪問的**啟用了hsts,那麼瀏覽器將會記住這一標記,確保未來每次訪問該**都會自動定向到https,不會在無意中訪問不安全的http。
hsts可以很大程度上解決ssl剝離攻擊,因為只要瀏覽器曾經與伺服器建立過一次安全連線,之後瀏覽器會強制使用https,即使鏈結被換成了http。
Redis配置過程中的問題
記錄一下配置過程中的坑 當redis在伺服器上安裝完成後,get set沒有問題了,接下來在程式中使用看看。首先 在配置檔案redis.conf中,預設的bind 介面是127.0.0.1,也就是本地回環位址。這樣的話,訪問redis服務只能通過本機的客戶端連線,而無法通過遠端連線,這樣可以避免將r...
說說專案從0 1過程中的那點事兒
俗話說專案不止,問題不止。產品就是用來解決問題的,那麼在專案過程中都會遇到哪些問題呢,寫下來記錄那些套路。也希望跟大家交流一下,大家都是怎麼解決的。1.專案初期 產品 戰略層 規劃,需求收集階段 在產品初期一般會經歷需求蒐集階段,那麼需求的 都在 呢。需求的 有領導層提出的,業務部門,運營部,客服部...
Lync Server配置過程中的注意事項
說是注意事項,其實下面的完全不夠全面。只是我學習過程中積累的一點經驗,記下了,免得以後每次都去谷歌必應。為了體驗lync server2013的功能,我想要搭建乙個逼真的環境。1.cannot find anysuitable disks fordatabase files.這個問題出現的原因是磁碟...