登录  | 立即注册

游客您好!登录后享受更多精彩

微信扫一扫,关注我们

第三十二节:网站添加SSL安全证书

第三十二节:平时访问网页的时候,默认都是访问的 http 协议,比如 http://xuezuoapp.cn. 即便在地址栏没有明确写 http, 只写了一个 xuezuoapp.cn, 实际上浏览器也会自动补充上 http:// 的。
http 就是协议的名称。 协议是什么概念呢? 就是浏览器和服务端事先约定好的规则,按照预定的规则,服务器和浏览器之间能够互相理解。
http 协议的缺陷,这里主要谈安全方面的缺陷。 http 协议是明文传输的,无论数据,账号,密码都是在网络上明文传输的,所以就存在巨大的安全隐患。一个是容易泄露密码,再一个容易被劫持。
前段时间 xuezuoapp.cn 就被劫持了,效果就是访问 http://xuezuoapp.cn 的时候,会跳转到不可描述的网站去。 接下来就讲解一下劫持是如何发生的。

xuezuoapp的数据是放在腾讯云上的, 如果用户要获取 xuezuoapp 的数据,是不会直接从 服务器上去取的。 会先找运营商,然后运营商去把数据取出来,取出来之后,再发给用户。

如图所示,这是3个主要的运营商,他们就扮演者中介的角色。

一般说来,这个中介什么都不会做,把从阿里云拿到的数据,返回给用户就完了。
但是,如果有黑客,或者运营商内部不可描述的原因,拿到的数据被动了手脚,那么再发给用户的数据,就不是原来的数据了。
xuezuoapp 被劫持,就是本应该返回正常的 html, 但是却被粗暴地修改成了: <html><body><script>location.href="不可描述.com"</script></body></html>
9929.png



回复

使用道具

关于本站|手机版|学做APP ( 蜀ICP备2022004082号 ) |蜀ICP备2022004082号-2

GMT+8, 2024-12-27 11:42 , Processed in 0.061575 second(s), 27 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

返回顶部 返回列表