來源:麥?zhǔn)寰幊?
作者:麥?zhǔn)?
一、張三被勒索
張三去某地旅游,在一個(gè)小酒店入住。酒店很便宜�����,一天只要80元�,但看著有點(diǎn)像黑店?。?
不過張三是誰����,闖蕩江湖這么多年,who怕who?����?��!
晚上百無聊賴����,他連上酒店的wifi��,先上銀行網(wǎng)站給爸媽轉(zhuǎn)了1000塊錢���,這是這個(gè)月的生活費(fèi)�。張三是個(gè)孝順兒子����!
然后他鬼使神差的打開了一個(gè)小電影網(wǎng)站��,欣賞了幾個(gè)動(dòng)作片�,放松一下���。
第二天結(jié)賬的時(shí)候�����,賬單嚇了張三一跳:1800�����!
什么?明明是80?����?!老板不緊不慢的說:其中1720是保密費(fèi)。你是不是上了一些不該上的網(wǎng)站�����?然后老板展示了幾張圖片����,正是張三看過的動(dòng)作片中的截圖�����。
張三很火���,但是也很擔(dān)心:勒索1800塊錢是小事�,我昨天還做了銀行轉(zhuǎn)賬�����,不會(huì)把我的賬號(hào)密碼拿去�,把我的錢都給轉(zhuǎn)走了吧?里面還有今年辛辛苦苦賺來的2萬多塊錢����!
打工人不容易啊!
他趕緊拿出手機(jī)�����,關(guān)掉wifi連接�,用流量查了一下余額。還好����,錢還在!
為什么老板因?yàn)樾‰娪袄账魉?��,而不竊取他的銀行卡密碼呢���?
原因是:張三上的銀行網(wǎng)站使用了HTTPS加密:
而小電影網(wǎng)站沒有用HTTPS,所以可以被酒店的WIFI捕獲所有發(fā)送的信息�。
沒有使用HTTPS的網(wǎng)站類似這樣:
我也很震驚,這個(gè)china.com竟然沒有HTTPS��。實(shí)際上很多正規(guī)的小電影網(wǎng)站都是HTTPS的,不信你去看看���。
這樣的真實(shí)事情�����,每天都發(fā)生在世界的各地�!
你永遠(yuǎn)不知道你會(huì)不會(huì)成為下一個(gè)目標(biāo)�����。所以認(rèn)真讀完這篇文章�,你就不會(huì)成為受害者。
二���、中間人劫持
張三正是遭受常見的網(wǎng)絡(luò)陷阱:中間人劫持�。大致過程是這樣的:
張三通過酒店WIFI上網(wǎng)的過程是這樣的:
-
瀏覽器發(fā)送消息給酒店WIFI
-
酒店WIFI發(fā)送消息給網(wǎng)站。
-
網(wǎng)站把內(nèi)容發(fā)送給WIFI。
-
WIFI把網(wǎng)站內(nèi)容發(fā)給瀏覽器���。
在這個(gè)過程中WIFI就是中間人����。實(shí)際上瀏覽器和網(wǎng)站中間還有很多中間人�,比如運(yùn)行商。
網(wǎng)站如果沒有HTTPS網(wǎng)站�,發(fā)送的信息都明文的,類似這樣的文字:
傳了什么消息���,中間人看的一清二楚�。一旦遭受中間人劫持�,中間人可以做很多事情:
監(jiān)控你的行為,然后勒索你�,就像張三這樣的情況
篡改你的發(fā)送信息:
你本來要給李四轉(zhuǎn)賬1000中間人修改成給他自己轉(zhuǎn)賬10萬���。
記錄你的銀行卡密碼�,朋友聊天記錄等
請(qǐng)大家注意,這里要害你的不是網(wǎng)站���,而是中間人��。中間人不光害你��,他們也害網(wǎng)站��。所以你和網(wǎng)站都是受害者���!
如果你上了黑心網(wǎng)站,詐騙你的錢財(cái)�,那是網(wǎng)站的問題,不是中間人的問題���,那是另外一套詐騙方式了�����。
為了解決中間人劫持的問題��,網(wǎng)站可以使用HTTPS���,強(qiáng)迫瀏覽器和網(wǎng)站的通信加密�����。這個(gè)過程變成了這樣:
雖然信息發(fā)送還是要經(jīng)過酒店WIFI���,但發(fā)送的都是密文,酒店WIFI看不懂����,只能簡單的幫你轉(zhuǎn)發(fā),什么事情都做不了�。
如果你是沖著小電影來的吃瓜群眾,就記住下面的結(jié)論:
-
使用公共WIFI的時(shí)候盡量不要上非HTTPS的網(wǎng)站�,地址欄帶小鎖的網(wǎng)站才是安全的。
-
如果你必須得上����,不要傳敏感的信息��。假設(shè)WIFI的老板知道你的一切網(wǎng)絡(luò)活動(dòng)。
-
在家是不是就可以不用在意HTTPS�?還是要注意!雖然WIFI是你的����,但你和網(wǎng)站中間仍然有很多中間人,比如運(yùn)行商���。
這真的很重要���,請(qǐng)轉(zhuǎn)發(fā)給需要的人,讓社會(huì)少一分傷害���!
三�、技術(shù)原理
大致的原理前面已經(jīng)講清楚了���,簡單來說就是加密�����。但這里還有很多細(xì)節(jié)�����。
1. 用同一套密碼做加密 - 對(duì)稱加密
瀏覽器和服務(wù)器擁有同一套秘鑰來加密和解密。瀏覽器發(fā)送消息之前先加密��,服務(wù)器收到密文后用同一套秘鑰解密���。
但這里的問題是:
瀏覽器怎么知道秘鑰是什么���?
如果瀏覽器可以從網(wǎng)站獲取秘鑰,那中間人也可以輕松獲取秘鑰����!
所以為了加密要先解決秘鑰的交換問題。
2. 用非對(duì)稱加密方式協(xié)商密碼 - 公鑰加密
還好有數(shù)學(xué)家研究出了一個(gè)加密算法���,叫做公鑰加密�。公鑰加密有兩把鑰匙:
一把是公開的�����,所有人都可以獲取
一把是私有的,只有網(wǎng)站自己知道
這兩把鑰匙的神奇之處在于:
用公開鑰匙加密��,只有私有鑰匙才能解密
用私有鑰匙加密�,只有公開鑰匙才能解密
這樣就可以協(xié)商密碼了:
-
瀏覽器從網(wǎng)站獲得網(wǎng)站的公鑰
-
瀏覽器自己生成一個(gè)密碼���,用公鑰加密�����,發(fā)送出去
-
密文傳到WIFI上的時(shí)候���,WIFI沒有私鑰,無法解開
-
WIFI只能乖乖的把密文原封不動(dòng)的傳給網(wǎng)站
-
網(wǎng)站有私鑰��,可以解開���,這樣瀏覽器和網(wǎng)站就成功交換了密碼
-
從此���,它們用這個(gè)密碼加密數(shù)據(jù)����,中間人無計(jì)可施
當(dāng)然實(shí)際的密碼交換過程比這個(gè)要復(fù)雜一些���,但核心原理就是這樣的��。
3. 數(shù)字證書和CA認(rèn)證機(jī)構(gòu)
但這事還沒完�����!中間人可以最開始就冒充網(wǎng)站��,把它自己的公鑰給瀏覽器:
-
瀏覽器試圖獲取某小電影網(wǎng)站的公鑰
-
經(jīng)過WIFI的時(shí)候���,WIFI直接把自己的公鑰給了瀏覽器���。
-
瀏覽器用WIFI的公鑰加密��,發(fā)送密碼��。
-
WIFI用自己的私鑰解密����,獲得了密碼�。從此瀏覽器發(fā)送的消息����,WIFI都知道了。
-
WIFI把篡改后的信息���,再用網(wǎng)站的公鑰加密和網(wǎng)站溝通��。
為了解決這個(gè)問題:
-
公鑰必須得監(jiān)管���!不能隨便誰的公鑰都可以。
-
生成了公鑰后���,要先找監(jiān)管機(jī)構(gòu)蓋個(gè)章�,生成一個(gè)數(shù)字證書,這些機(jī)構(gòu)被稱為CA機(jī)構(gòu)�。世界上被認(rèn)可的CA機(jī)構(gòu)是有限的。他們簽發(fā)證書一般都是收費(fèi)的��。
-
當(dāng)瀏覽器獲得一個(gè)公鑰時(shí)�����,看看這個(gè)公鑰是誰簽發(fā)的���。如果是它不認(rèn)識(shí)的機(jī)構(gòu)簽發(fā)的�,就提醒用戶:這個(gè)證書是無效的��。
-
這樣中間人發(fā)來的公鑰是無效的�����,瀏覽器一下就識(shí)別出來了��。
所有電腦上都維護(hù)了自己信任的CA機(jī)構(gòu):
我們也可以手工修改添加自己信任的機(jī)構(gòu):比如把自己的公司加入到信任列表中去�。這樣自己公司可以簽發(fā)證書。
這樣基本上就徹底避免了中間人攻擊����。
如果對(duì)技術(shù)細(xì)節(jié)感興趣,可以看我下面兩篇文章:
小朋友都能懂的計(jì)算機(jī)算法 - 公鑰加密
小朋友都能懂的計(jì)算機(jī)算法 - 數(shù)字證書
我是麥?zhǔn)?,陪你學(xué)編程,陪你走職場的路�!
這真的很重要,請(qǐng)轉(zhuǎn)發(fā)給需要的人���,讓社會(huì)少一分傷害���!
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試�����,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情����;
? 想學(xué)習(xí)CDA考試教材,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情��;
? 想加入CDA考試題庫,點(diǎn)擊>>> “CDA題庫” 了解CDA考試詳情�����;
? 想了解CDA考試含金量����,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營許可證編號(hào):京B2-20210330