在成都軟件開發(fā)過程中,網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)是至關(guān)重要的�。為了確保您的軟件安全可靠����,您可以使用HTTPS協(xié)議來加密數(shù)據(jù)傳輸并保護(hù)軟件的安全性。而SSL證書則是實(shí)現(xiàn)HTTPS協(xié)議的關(guān)鍵因素之一���。早在2014年8月�,由于安全問題���,百度正式宣布將使用HTTPS作為排名信號(hào)。
百度的舉動(dòng)意味著將您的軟件從HTTP遷移到HTTPS可以使您的搜索結(jié)果略有提升���。因此����,為什么您的軟件應(yīng)該在HTTP上使用HTTPS的簡(jiǎn)短答案是因?yàn)榘俣绕珢鬯?
對(duì)于大多數(shù)公司而言,百度推薦使用HTTPS足以進(jìn)行轉(zhuǎn)換�,但我們都認(rèn)為,重要的是要知道兩種協(xié)議的含義���,HTTP和HTTPS之間的區(qū)別以及每種選擇的優(yōu)缺點(diǎn)是很重要的�。我們想從HTTP協(xié)議的概述開始����,然后看看為什么百度希望軟件擺脫它。
什么是HTTP����,它如何工作?為什么它不安全�?
HTTP代表超文本傳輸協(xié)議,它是一種在互聯(lián)網(wǎng)上傳輸信息已有15年歷史的方法����。HTTP是建立萬維網(wǎng)的協(xié)議。與許多其他Internet協(xié)議一樣�,該協(xié)議根據(jù)客戶端-服務(wù)器模型工作。啟動(dòng)HTTP請(qǐng)求的Web瀏覽器稱為客戶端���,將響應(yīng)該請(qǐng)求的Web服務(wù)器稱為服務(wù)器���。
假設(shè)您坐在咖啡館里�,并嘗試通過本地網(wǎng)絡(luò)(例如����,咖啡館的Wi-Fi)登錄到您可愛的微信個(gè)人資料(在此示例中,我們假設(shè)微信仍在使用HTTP)���??Х瑞^的Wi-Fi網(wǎng)絡(luò)是公共的����,連接到它的任何人都可以訪問通過它傳輸?shù)臄?shù)據(jù)。現(xiàn)在���,讓我們看一下當(dāng)軟件使用HTTP時(shí)您的數(shù)據(jù)所發(fā)生的情況����。所謂數(shù)據(jù)�,是指一切����,包括您的微信帳戶的登錄名和密碼����。
要登錄軟件(如微信)�,您需要輸入登錄憑據(jù)(通常是您的電子郵件或電話號(hào)碼和密碼)。一旦您單擊登錄按鈕�,您的數(shù)據(jù)就會(huì)發(fā)送到服務(wù)器。服務(wù)器收到您的數(shù)據(jù)后���,便對(duì)其進(jìn)行驗(yàn)證����。如果一切正確���,則服務(wù)器將發(fā)送HTTP狀態(tài)“確定”���,并且您已登錄到您的帳戶。輕松活潑的���。一切似乎還好�。
但這是問題所在–如果您的數(shù)據(jù)是通過HTTP傳輸?shù)?,則通過不安全的連接(未使用加密)以未加密的方式發(fā)送數(shù)據(jù)����,因此���,通過HTTP協(xié)議傳輸?shù)娜魏螖?shù)據(jù)都是公開的�,可以被截獲甚至被第三方操縱�。您可能從未聽說過網(wǎng)絡(luò)嗅探攻擊,但是確實(shí)存在此類陷阱����。
嗅探是黑客用來捕獲您的敏感網(wǎng)絡(luò)信息(例如密碼,帳戶信息�,信用卡號(hào),用戶ID等)的一種攻擊�。為此,黑客通常使用sniffer(可捕獲網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用程序)���。嗅探器也稱為網(wǎng)絡(luò)協(xié)議分析器�,但網(wǎng)絡(luò)分析器本質(zhì)上是網(wǎng)絡(luò)故障排除工具����,黑客可以巧妙地將其用于惡意目的。
如果未加密網(wǎng)絡(luò)數(shù)據(jù)包(在我們的示例中,數(shù)據(jù)包包含您的微信帳戶的登錄ID和密碼)����,則可以使用嗅探器讀取此網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)����。嗅探與捕獲網(wǎng)絡(luò)數(shù)據(jù)包有關(guān),一旦使用嗅探器工具捕獲了數(shù)據(jù)包����,就可以分析數(shù)據(jù)包的內(nèi)容。這樣����,黑客可以竊取您的敏感和私人信息。
如我們所見����,HTTP協(xié)議有一個(gè)很大的弱點(diǎn)-通過HTTP在您的設(shè)備和Web服務(wù)器之間傳輸?shù)男畔⑽醇用埽⑶依碚撋峡梢噪S時(shí)被黑客攔截����。對(duì)于訪問純信息軟件的人來說,HTTP的這一缺點(diǎn)似乎并不重要����。但是����,在處理在線購(gòu)物和銀行業(yè)務(wù)中使用的個(gè)人信息時(shí)����,這會(huì)帶來明顯的麻煩。但是����,通過使用稱為HTTPS的安全通信通道,可以輕松解決HTTP的安全問題����。
HTTPS還可以保護(hù)您免受中間人攻擊,DNS重新綁定和重播攻擊等黑客攻擊的影響����,但是為了不引起您的困惑,我們將繼續(xù)介紹HTTPS的工作原理以及它如何保護(hù)您免受攻擊我們之前描述的嗅探攻擊����。
什么是HTTPS,它如何保護(hù)您的軟件����?
HTTPS是一種Internet通信協(xié)議���,可保存任何類型的數(shù)據(jù),包括密碼�,文本消息和信用卡詳細(xì)信息,在計(jì)算機(jī)與要將數(shù)據(jù)發(fā)送到的服務(wù)器之間傳輸時(shí)保持安全����。簡(jiǎn)而言之���,HTTPS只是HTTP的安全版本:結(jié)尾處的“ S”字面意思是“安全”�。HTTPS通過使用傳輸層安全協(xié)議(TSL)(通常稱為SSL(安全套接字層))使您的數(shù)據(jù)機(jī)密����。但是什么是SSL證書?
SSL是一種安全證書�,可提供三層保護(hù):加密,這意味著在瀏覽器(客戶端)和軟件(服務(wù)器)之間發(fā)送的所有數(shù)據(jù)都經(jīng)過加密����,因此即使數(shù)據(jù)被盜或被黑客竊取,黑客也無法解密它們�;數(shù)據(jù)完整性���,確保您的數(shù)據(jù)在傳輸過程中不會(huì)被修改或破壞而不會(huì)被檢測(cè)到;和身份驗(yàn)證����,以驗(yàn)證您是否正在實(shí)際與預(yù)期的軟件進(jìn)行通信。為了確保您的通訊安全�,您可以在瀏覽器的URL欄中尋找一個(gè)特殊的綠色掛鎖,以指示軟件是否安全���。
現(xiàn)在讓我們看一下SSL加密的工作原理����,以及它如何保護(hù)您的數(shù)據(jù)免遭嗅探�。我們將繼續(xù)使用與以前相同的方案,在該方案中���,您嘗試使用電子郵件和密碼登錄到微信帳戶���。請(qǐng)記住,這次您是通過受SSL證書保護(hù)的HTTPS連接登錄到微信的�。
SSL證書使用所謂的非對(duì)稱公共密鑰密碼術(shù)或公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)系統(tǒng)。PKI系統(tǒng)使用兩種不同的密鑰來加密通信:公共密鑰和私有密鑰����。用公鑰加密的任何內(nèi)容都只能由相應(yīng)的私鑰解密���,反之亦然。
請(qǐng)注意����,顧名思義,私鑰應(yīng)受到嚴(yán)格保護(hù)����,并且只有私鑰所有者才能訪問����。對(duì)于軟件,必須將私鑰在Web服務(wù)器上保持安全����。相反,公鑰旨在分發(fā)給需要解密最初由私鑰加密的信息的任何人和所有人?���,F(xiàn)在我們了解了公鑰-私鑰對(duì)的工作原理,接下來我們將介紹SSL證書的工作原理����。我們將此過程分為幾個(gè)步驟����,以使其易于遵循����。
SSL證書如何工作?
步驟1.通過握手在服務(wù)器和瀏覽器之間建立安全的通信����。當(dāng)瀏覽器發(fā)出URL請(qǐng)求時(shí),握手過程開始����。通過發(fā)送此URL請(qǐng)求,客戶端將在客戶端的瀏覽器和服務(wù)器之間啟動(dòng)安全的SSL連接����,并傳輸通信選項(xiàng)(例如加密的版本和類型)?���?蛻舳税l(fā)送啟動(dòng)SSL連接的請(qǐng)求的過程稱為客戶端hello。
步驟2.下一步稱為服務(wù)器hello����。收到客戶端的請(qǐng)求后����,服務(wù)器通過發(fā)送其SSL證書的副本及其public_key進(jìn)行響應(yīng)����,從而完成客戶端問候過程。
第三步客戶端從服務(wù)器接收回該數(shù)據(jù)后����,瀏覽器將立即驗(yàn)證它是否隱式信任證書,或者該證書是否可以由瀏覽器隱式信任的多個(gè)證書頒發(fā)機(jī)構(gòu)(CA)之一進(jìn)行驗(yàn)證����。此方法有效����,因?yàn)槊總€(gè)瀏覽器都有一個(gè)預(yù)安裝的來自證書頒發(fā)機(jī)構(gòu)(CA)的受信任SSL證書列表,您可以查看����,添加和刪除這些證書。這些證書由一組集中的安全組織控制����,包括Symantec����,Comodo和GoDaddy����。如果服務(wù)器從瀏覽器的列表中提供證書,則表明該軟件可以信任����。在驗(yàn)證SSL證書時(shí),瀏覽器還會(huì)使用服務(wù)器發(fā)送的public_key創(chuàng)建唯一的對(duì)稱public_key����。至此,我們的數(shù)據(jù)終于被加密了����。
步驟4.然后,服務(wù)器發(fā)回已簽名的確認(rèn)����。收到此確認(rèn)后,服務(wù)器和客戶端將啟動(dòng)SSL加密的會(huì)話。這就是SSL提供身份驗(yàn)證的方式����。
步驟5.現(xiàn)在已經(jīng)建立了SSL會(huì)話,客戶端和服務(wù)器可以安全地共享以前加密的數(shù)據(jù)����。在此過程中創(chuàng)建的對(duì)稱密鑰對(duì)于特定的SSL會(huì)話是唯一的,并且可以用于加密/解密在該會(huì)話期間客戶端和服務(wù)器之間交換的數(shù)據(jù)����。
使用通過SSL證書保護(hù)的HTTPS連接,可以為您提供我們前面提到的所有保護(hù)����。您將獲得身份驗(yàn)證,因此可以知道您正在與目標(biāo)服務(wù)器進(jìn)行安全通信����。您將獲得數(shù)據(jù)加密,因此即使嗅探器攔截并竊取了包含public_key的網(wǎng)絡(luò)程序包����,他們也將永遠(yuǎn)無法對(duì)其解密����。當(dāng)然����,您將獲得數(shù)據(jù)完整性����,因此您可以傳輸機(jī)密數(shù)據(jù),而不必?fù)?dān)心它們被損壞或被修改而不會(huì)被檢測(cè)到����。
我的軟件需要SSL證書嗎?
在決定是否使用HTTPS而不是HTTP之前����,我們想總結(jié)一下HTTPS(以及SSL協(xié)議)而不是HTTP為您的軟件帶來的主要好處:
安全。您和您的客戶往返于您的軟件的所有信息都經(jīng)過加密和驗(yàn)證(確保數(shù)據(jù)完整性)����。這樣可以使您免于遭受各種潛在的黑客攻擊(例如嗅探,中間人等)����,并為您的企業(yè)提供了安全基準(zhǔn)。
相信����。盡管更多地關(guān)注物理因素����,但人們會(huì)通過關(guān)心自己的機(jī)密信息安全性的軟件來經(jīng)營(yíng)業(yè)務(wù)����。HTTPS和SSL幫助軟件開發(fā)對(duì)其業(yè)務(wù)關(guān)系的信任。
SEO����。即使是較小的搜索引擎排名提升也將幫助用戶找到您的軟件。
京上云成都軟件開發(fā)建議所有新軟件都使用HTTPS����。如果您的軟件已經(jīng)建立,則可以從HTTP遷移到HTTPS����,但此刻不必一定要正確。如果您有興趣獲得一個(gè)使用HTTPS的新軟件或當(dāng)前軟件����,我們可以為您提供從購(gòu)買證書到確保傳入的HTTP鏈接繼續(xù)正常運(yùn)行的整個(gè)過程。
文章均為京上云專業(yè)成都軟件開發(fā)公司����,專注于成都軟件開發(fā)服務(wù)原創(chuàng),轉(zhuǎn)載請(qǐng)注明來自http://hyd365.cn/news/4175.html
