在学习http与https的区别的时候,我们通常从以下几点出发:
http是超文本传输协议,是明文传输,有安全风险,https在TCP和http网络层之间加入了SSL/TLS安全协议,使得报文能够加密传输
http连接简单,三次握手后即可传输,但是https在三次握手之后还要进行SSL/TLS的握手过程,才能加密报文传输
两者端口号不一样,http默认端口号是80,HTTPS默认端口号是443
https需要申请CA证书,需要付费
从上面的区别我们可以看出,我们使用https就是看中了他比较安全,但是他是如何确保安全的呢?
你可能会说,它不止进行TCP三次握手还要进行SSL/TLS握手,这样确保了它的安全性。
但是SSL/TLS是什么呢?它们又是怎样加密的呢?
SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名保证完整性、使用加密确保私密性,以实现客户端和服务端之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。
TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。
SSL和TLS是一种能够在服务器,machines和通过网络运行的应用程序(例如,客户端连接到web服务器)之间提供身份认证和数据加密的加密协议。SSL是TLS的前世。多年来,新版本的发布用来解决漏洞,提供更强大支持,更安全的密码套件和算法。
因为HTTP是明文传输,所谓明文,就是说客户端和服务端通信的信息都是肉眼可见的,随意使用一个抓包工具都可以截获通信的内容
所以会存在以下三个风险“
窃听风险,第三方可以获取通信内容
篡改风险,第三方可以修改通信内容,比如强制植入垃圾广告
冒充风险,第三方冒充他人身份进行通信
HTTPS在HTTP与TCP之间加入了TLS协议,来解决上述风险。
TLS是如何解决上述风险的呢?
信息加密:HTTP交互信息是被加密的,第三方就无法被窃取
校验机制:校验信息传输过程中是否有被第三方篡改过,如果被篡改过,则会有警告提示;
身份证书:验证所要访问网站的证书,判断其真实性
传统的TLS握手基本上都是使用RSA算法来实现密钥交换的,服务端将自己的公钥在TLS的握手阶段 传递给客户端,服务端的私钥一直留在自己这,一定要确保私钥不能被窃取。
在RSA密钥协商算法中,客户端会生成随机密钥,并使用服务端的公钥加密后再传给服务端。根据非对称加密算法,公钥加密的消息仅能通过私钥解密,这样服务器解密后,双方就得到了相同的密钥,再用它加密应用消息。
那么如何确保自己的公钥不被篡改的呢?这就是我们前面所说的CA证书,将公钥放在数字证书中。只要证书是可信的,公钥就是可信的。
客户端会先向服务器打个招呼【Client Hello】,消息里面有客户端使用的TLS版本号、支持的密码套件列表,以及生成的随机数1,这个随机数会被服务端保留,它是生成对称加密密钥的材料之一。
当服务器收到客户端的【Client Hello】消息后,会确认TLS版本号是否支持,和从密码套件列表中选择一个密码套件,以及生成随机数。然后返回【Server Hello】消息,消息里面有服务器确认的TLS版本号,也给出了随机数2,然后从客户端的密码套件列表选择一个合适的密码套件。
然后,服务端为了证明自己的身份,会发送【Server Certificate】给客户端,这个消息里含有数字证书。
接着,服务端发送【Server Hello Done】给客户端,目的是,我已经把该给你的东西都发给你了,本次打招呼完毕。
客户端验证完成证书后,认为是可信的,就会生成一个新的随机数,用服务器的RSA公钥加密该随机数3,通过【Client Key Exchange】消息传给服务端。
服务端收到之后,用RSA私钥解密,得到客户端发送的随机数
到这,双方都已经得到了三个随机数,生成会话密钥,它是对称加密,用于对后续的HTTP请求/响应的数据加解密。
生成完会话密钥后,然后客户端发一个【Change Cipher Spec】,告诉服务端开始使用加密方式发送消息。
然后,客户端再发一个【Encrypted Handshake Message(Finished)】消息,把之前所有发送的数据做个摘要,再用会话密钥加密一下,让服务器做个验证,验证加密通信是否可用和之前握手信息是否有被中途篡改过
在【Change Cipher Spec】之前握手数据都是明文传输的,之后都是对称密钥加密的密文。
服务器也是同样的操作,发【Change Cipher Spec】和【Encrypted Handshake Message】消息,如果双方都验证加密和解密没问题,那么握手正式完成。
最后,就会用【会话密钥】加解密HTTP请求和响应了。
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack
在选择我想要运行操作的频率时,唯一的选项是“每天”、“每小时”和“每10分钟”。谢谢!我想为我的Rails3.1应用程序运行调度程序。 最佳答案 这不是一个优雅的解决方案,但您可以安排它每天运行,并在实际开始工作之前检查日期是否为当月的第一天。 关于ruby-如何每月在Heroku运行一次Scheduler插件?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/8692687/
我有一个对象has_many应呈现为xml的子对象。这不是问题。我的问题是我创建了一个Hash包含此数据,就像解析器需要它一样。但是rails自动将整个文件包含在.........我需要摆脱type="array"和我该如何处理?我没有在文档中找到任何内容。 最佳答案 我遇到了同样的问题;这是我的XML:我在用这个:entries.to_xml将散列数据转换为XML,但这会将条目的数据包装到中所以我修改了:entries.to_xml(root:"Contacts")但这仍然将转换后的XML包装在“联系人”中,将我的XML代码修改为
我有一大串格式化数据(例如JSON),我想使用Psychinruby同时保留格式转储到YAML。基本上,我希望JSON使用literalstyle出现在YAML中:---json:|{"page":1,"results":["item","another"],"total_pages":0}但是,当我使用YAML.dump时,它不使用文字样式。我得到这样的东西:---json:!"{\n\"page\":1,\n\"results\":[\n\"item\",\"another\"\n],\n\"total_pages\":0\n}\n"我如何告诉Psych以想要的样式转储标量?解
