Toggle Navigation
首页
Golang
PHP
Laravel
Magento
Linux
数据库
MySQL
Redis
Mongodb
热门知识
程序与生活
架构师之路
静态站点
GitHub
主页
关于HTTPS的七个误解
关于HTTPS的七个误解
07-20
Mark
468
**误解一:只有注册登录页,才需要HTTPS** 这种想法很普遍。人们觉得,HTTPS可以保护用户的密码,此外就不需要了。Firefox浏览器新插件Firesheep,证明了这种想法是错的。我们可以看到,在Twitter和Facebook上,劫持其他人的session是非常容易的。 咖啡馆的免费WiFi,就是一个很理想的劫持环境,因为两个原因: >1. 这种WiFi通常不会加密,所以很容易监控所有流量。 2. WiFi通常使用NAT进行外网和内网的地址转换,所有内网客户端都共享一个外网地址。这意味着,被劫持的session,看上去很像来自原来的登录者。 以Twitter为例,它的登录页使用了HTTPS,但是登录以后,其他页面就变成了HTTP。这时,它的cookie里的session值就暴露了。 ![\bg2011021310.png][0.4114929707720876] 也就是说,这些cookie是在HTTPS环境下建立的,但是却在HTTP环境下传输。如果有人劫持到这些cookie,那他就能以你的身份在Twitter上发言了。 **误解二:有了HTTPS,Cookie和查询字符串就安全了** 虽然无法直接从HTTPS数据中读取Cookie和查询字符串,但是你仍然需要使它们的值变得难以预测。 比如,曾经有一家英国银行,直接使用顺序排列的数值表示session id: 黑客可以先注册一个账户,找到这个cookie,看到这个值的表示方法。然后,改动cookie,从而劫持其他人的session id。至于查询字符串,也可以通过类似方式泄漏。 **误解三:HTTPS太慢** 使用HTTPS不会使你的网站变得更快(实际上有可能,请看下文),但是有一些技巧可以大大减少额外开销。 首先,只要压缩文本内容,就会降低解码耗用的CPU资源。不过,对于当代CPU来说,这点开销不值一提。 其次,建立HTTPS连接,要求额外的TCP往返,因此会新增一些发送和接收的字节。但是,从下图可以看到,新增的字节是很少的。 第一次打开网页的时候,HTTPS协议会比HTTP协议慢一点,这是因为读取和验证SSL证书的时间。 某些用户可能发现,HTTPS比HTTP更快一点。这会发生在一些大公司的内部局域网,因为通常情况下,公司的网关会截取并分析所有的网络通信。但是,当它遇到HTTPS连接时,它就只能直接放行,因为HTTPS无法被解读。正是因为少了这个解读的过程,所以HTTPS变得比较快。 **误解四:转移服务器时要购买新证书** 部署SSL证书,需要这样几步: >1. 在你的服务器上,生成一个CSR文件(SSL证书请求文件,SSL Certificate Signing Request)。 2. 使用CSR文件,购买SSL证书。 3. 安装SSL证书。 这些步骤都经过精心设计,保证传输的安全,防止有人截取或非法获得证书。结果就是,你在第二步得到的证书不能用在另一台服务器上。如果你需要这样做,就必须以其他格式输出证书。 比如,IIS的做法是生成一个可以转移的.pfx文件,并加以密码保护。 **误解五:HTTPS站点必须有独享的IP地址** 由于IPv4将要分配完毕,所以很多人关心这个问题。每个IP地址只能安装一张SSL证书,这是毫无疑问的。但是,如果你使用子域名通配符SSL证书(wildcard SSL certificate,价格大约是每年125美元),就能在一个IP地址上部署多个HTTPS子域名。比如,[https://www.httpwatch.com](https://www.httpwatch.com)和[https://store.httpwatch.com](https://store.httpwatch.com),就共享同一个IP地址。 **误解六:SSL证书很贵** 如果你在网上搜一下,就会发现很多便宜的SSL证书,大概10美元一年,这和一个.com域名的年费差不多。而且事实上,还能找到免费的SSL证书。 在效力上,便宜的证书当然会比大机构颁发的证书差一点,但是几乎所有的主流浏览器都接受这些证书。 **误解七:HTTPS无法缓存** 许多人以为,出于安全考虑,浏览器不会在本地保存HTTPS缓存。实际上,只要在HTTP头中使用特定命令,HTTPS是可以缓存的。 微软的IE项目经理Eric Lawrence写道: >"说来也许令人震惊,只要HTTP头允许这样做,所有版本的IE都缓存HTTPS内容。比如,如果头命令是Cache-Control: max-age=600,那么这个网页就将被IE缓存10分钟。IE的缓存策略,与是否使用HTTPS协议无关。(其他浏览器在这方面的行为不一致,取决于你使用的版本,所以这里不加以讨论。)" Firefox默认只在内存中缓存HTTPS。但是,只要头命令中有Cache-Control: Public,缓存就会被写到硬盘上。下面的图片显示,Firefox的硬盘缓存中有HTTPS内容,头命令正是Cache-Control:Public。
最新文章
Golang内存问题处理
WebSocket详解
Gopher面试中的Coding(三)
Golang用os/signal包实现平滑重载配置文件
Nginx实现负载均衡的几种方式
Golang中子goroutine与主协程同步的四种实现
Dockerfile文件详解
Golang开发微信公众号
最热文章
Magento上传文件、缩略图和导出CSV
1131
Magento实现下载csv数据表格
1127
Magento优化 – MySQL读写分离
996
Laravel带有条件搜索的分页
844
Magento后台添加rule规则
833
10个实用的PHP正则表达式
690
Magento 建立自己的shell命令
679
删除MySQL binlog实操
663
热门标签
上传
导出
下载
读写分离
laravel分页
rule
规则
正则
shell
binlog
Collection
命名空间
模块
解锁
锁表
string
处理
Git
读写
事务处理
表分割
进阶
架构
系统
日志分析
事务处理
composer
time
函数
缓存
HTTPS
事务
分布式锁
fmt
redis sentinel
mongodb
日志分割
package
schedule
channel
交叉编译
多数据库
git服务器
gogs
golang
日志过滤
json
concat
发展方向
php
protobuf
版本号
算法
defer
panic
docker
elasticsearch
get
post
写文件
rpc
模型关系
redis
主从配置
golang算法
laravel
package
curl
微信公众号
Dataflow
Shell
mongodb
生成插件
直接下载
代码部署
protobuf
参数
数据类型
并发
量级
错误传递
队列
Go指针
Dockerfile
成长
路上
风景
方法
goroutine
grpc
yum
Redis持久化
protobuf
重载配置
Gopher面试
负载均衡
websocket
内存泄漏