來源:麥叔編程
作者:麥叔
一���、張三被勒索
張三去某地旅游�����,在一個小酒店入住����。酒店很便宜��,一天只要80元�����,但看著有點像黑店?。?
不過張三是誰����,闖蕩江湖這么多年,who怕who?���。?
晚上百無聊賴�,他連上酒店的wifi�,先上銀行網站給爸媽轉了1000塊錢,這是這個月的生活費�。張三是個孝順兒子!
然后他鬼使神差的打開了一個小電影網站�,欣賞了幾個動作片,放松一下����。
第二天結賬的時候,賬單嚇了張三一跳:1800�!
什么?明明是80?。±习宀痪o不慢的說:其中1720是保密費���。你是不是上了一些不該上的網站����?然后老板展示了幾張圖片,正是張三看過的動作片中的截圖��。
張三很火����,但是也很擔心:勒索1800塊錢是小事,我昨天還做了銀行轉賬�,不會把我的賬號密碼拿去,把我的錢都給轉走了吧�?里面還有今年辛辛苦苦賺來的2萬多塊錢!
打工人不容易?���。?
他趕緊拿出手機���,關掉wifi連接���,用流量查了一下余額�����。還好���,錢還在!
為什么老板因為小電影勒索他�,而不竊取他的銀行卡密碼呢?
原因是:張三上的銀行網站使用了HTTPS加密:
而小電影網站沒有用HTTPS�����,所以可以被酒店的WIFI捕獲所有發(fā)送的信息��。
沒有使用HTTPS的網站類似這樣:
我也很震驚���,這個china.com竟然沒有HTTPS。實際上很多正規(guī)的小電影網站都是HTTPS的���,不信你去看看�����。
這樣的真實事情�����,每天都發(fā)生在世界的各地����!
你永遠不知道你會不會成為下一個目標�����。所以認真讀完這篇文章���,你就不會成為受害者�。
二、中間人劫持
張三正是遭受常見的網絡陷阱:中間人劫持����。大致過程是這樣的:
張三通過酒店WIFI上網的過程是這樣的:
-
瀏覽器發(fā)送消息給酒店WIFI
-
酒店WIFI發(fā)送消息給網站�����。
-
網站把內容發(fā)送給WIFI��。
-
WIFI把網站內容發(fā)給瀏覽器�����。
在這個過程中WIFI就是中間人��。實際上瀏覽器和網站中間還有很多中間人�,比如運行商���。
網站如果沒有HTTPS網站�,發(fā)送的信息都明文的,類似這樣的文字:
傳了什么消息,中間人看的一清二楚���。一旦遭受中間人劫持���,中間人可以做很多事情:
監(jiān)控你的行為,然后勒索你��,就像張三這樣的情況
篡改你的發(fā)送信息:
你本來要給李四轉賬1000中間人修改成給他自己轉賬10萬����。
記錄你的銀行卡密碼��,朋友聊天記錄等
請大家注意���,這里要害你的不是網站��,而是中間人�����。中間人不光害你��,他們也害網站��。所以你和網站都是受害者�!
如果你上了黑心網站,詐騙你的錢財����,那是網站的問題,不是中間人的問題�,那是另外一套詐騙方式了。
為了解決中間人劫持的問題���,網站可以使用HTTPS��,強迫瀏覽器和網站的通信加密。這個過程變成了這樣:
雖然信息發(fā)送還是要經過酒店WIFI���,但發(fā)送的都是密文���,酒店WIFI看不懂,只能簡單的幫你轉發(fā)����,什么事情都做不了。
如果你是沖著小電影來的吃瓜群眾�,就記住下面的結論:
-
使用公共WIFI的時候盡量不要上非HTTPS的網站,地址欄帶小鎖的網站才是安全的��。
-
如果你必須得上���,不要傳敏感的信息����。假設WIFI的老板知道你的一切網絡活動���。
-
在家是不是就可以不用在意HTTPS�?還是要注意����!雖然WIFI是你的���,但你和網站中間仍然有很多中間人,比如運行商���。
這真的很重要�����,請轉發(fā)給需要的人�,讓社會少一分傷害�����!
三�����、技術原理
大致的原理前面已經講清楚了���,簡單來說就是加密�����。但這里還有很多細節(jié)�����。
1. 用同一套密碼做加密 - 對稱加密
瀏覽器和服務器擁有同一套秘鑰來加密和解密����。瀏覽器發(fā)送消息之前先加密,服務器收到密文后用同一套秘鑰解密�����。
但這里的問題是:
瀏覽器怎么知道秘鑰是什么�����?
如果瀏覽器可以從網站獲取秘鑰���,那中間人也可以輕松獲取秘鑰�����!
所以為了加密要先解決秘鑰的交換問題����。
2. 用非對稱加密方式協商密碼 - 公鑰加密
還好有數學家研究出了一個加密算法,叫做公鑰加密��。公鑰加密有兩把鑰匙:
一把是公開的��,所有人都可以獲取
一把是私有的��,只有網站自己知道
這兩把鑰匙的神奇之處在于:
用公開鑰匙加密����,只有私有鑰匙才能解密
用私有鑰匙加密,只有公開鑰匙才能解密
這樣就可以協商密碼了:
-
瀏覽器從網站獲得網站的公鑰
-
瀏覽器自己生成一個密碼��,用公鑰加密�,發(fā)送出去
-
密文傳到WIFI上的時候����,WIFI沒有私鑰�����,無法解開
-
WIFI只能乖乖的把密文原封不動的傳給網站
-
網站有私鑰,可以解開����,這樣瀏覽器和網站就成功交換了密碼
-
從此,它們用這個密碼加密數據����,中間人無計可施
當然實際的密碼交換過程比這個要復雜一些,但核心原理就是這樣的�����。
3. 數字證書和CA認證機構
但這事還沒完�!中間人可以最開始就冒充網站,把它自己的公鑰給瀏覽器:
-
瀏覽器試圖獲取某小電影網站的公鑰
-
經過WIFI的時候�,WIFI直接把自己的公鑰給了瀏覽器。
-
瀏覽器用WIFI的公鑰加密���,發(fā)送密碼���。
-
WIFI用自己的私鑰解密,獲得了密碼���。從此瀏覽器發(fā)送的消息,WIFI都知道了����。
-
WIFI把篡改后的信息�,再用網站的公鑰加密和網站溝通�。
為了解決這個問題:
-
公鑰必須得監(jiān)管�����!不能隨便誰的公鑰都可以���。
-
生成了公鑰后�,要先找監(jiān)管機構蓋個章,生成一個數字證書�����,這些機構被稱為CA機構�����。世界上被認可的CA機構是有限的����。他們簽發(fā)證書一般都是收費的��。
-
當瀏覽器獲得一個公鑰時����,看看這個公鑰是誰簽發(fā)的�。如果是它不認識的機構簽發(fā)的,就提醒用戶:這個證書是無效的����。
-
這樣中間人發(fā)來的公鑰是無效的,瀏覽器一下就識別出來了�。
所有電腦上都維護了自己信任的CA機構:
我們也可以手工修改添加自己信任的機構:比如把自己的公司加入到信任列表中去�����。這樣自己公司可以簽發(fā)證書����。
這樣基本上就徹底避免了中間人攻擊�。
如果對技術細節(jié)感興趣,可以看我下面兩篇文章:
小朋友都能懂的計算機算法 - 公鑰加密
小朋友都能懂的計算機算法 - 數字證書
我是麥叔�,陪你學編程,陪你走職場的路�����!
這真的很重要�,請轉發(fā)給需要的人,讓社會少一分傷害���!
CDA數據分析師考試相關入口一覽(建議收藏):
? 想報名CDA認證考試�����,點擊>>>
“CDA報名”
了解CDA考試詳情��;
? 想學習CDA考試教材��,點擊>>> “CDA教材” 了解CDA考試詳情��;
? 想加入CDA考試題庫,點擊>>> “CDA題庫” 了解CDA考試詳情����;
? 想了解CDA考試含金量����,點擊>>> “CDA含金量” 了解CDA考試詳情���;
京公網安備 11010802034615號
經營許可證編號:京B2-20210330