Android安全开发之安全使用HTTPS
1、HTTPS简介 阿里聚安全的应用漏洞扫描器中有证书弱校验、主机名弱校验、webview未校验证书的检测项,这些检测项是针对APP采用HTTPS通信时容易出现风险的地方而设。接下来介绍一下安全使用HTTPS的相关内容。 1.1 为何需要H...
1、HTTPS简介 阿里聚安全的应用漏洞扫描器中有证书弱校验、主机名弱校验、webview未校验证书的检测项,这些检测项是针对APP采用HTTPS通信时容易出现风险的地方而设。接下来介绍一下安全使用HTTPS的相关内容。 1.1 为何需要H...
随着无数网络“窃听风云”事件的曝光,SSL/TLS的一个不起眼的特性忽然引起了人们的兴趣,它叫做正向保密。那么它到底是什么,为什么现在引起这么多关注? 会话密钥的生成和交换 每个SSL连接都开始于一次握手,期间双方将自己的性能数据传递给对方...
HTTP公钥固定(HPKP,见RFC7469)——一个给大家用来固定公钥的标准——也许已经死了。作为一个完全加密的、可靠的互联网支持者,我非常期待HPKP取得成功,但我担心它用起来太困难,也太危险,而且如果没有我们的维护,它什么也做不了。 ...
在互联网时代,我们大多数人都被网络钓鱼攻击过,并且,网络钓鱼技术已经越来越复杂了。通常,攻击者会精心构造一个网站登录页面,让用户以为这个页面就是真的页面。然后用户输了自己的登录信息,这些信息就发送给攻击者。像这样盗取身份认证和个人信息的行为...
一家奥地利咨询公司SEC Consult的研究人员称,自从去年11月该公司开始关注以来,互联网上共用密钥和证书的网关、路由器、调制解调器和其他嵌入式设备的数量上升了40%。 这份星期二发布的名为《密钥之家》的报告警告,使用已知私钥的设...
QIP.ru 是一家主要在俄罗斯本土运营的即时通讯服务提供商,但最近曝出了其 3300 万用户明文密码被黑客盗取的大事件。 外媒 SoftPedia 从网络安全初创企业 HEROIC 得到了一份样本数据,后者的主要业务是保护用户远离黑客攻击...
在昨日的Google安全博客中,Google安全团队宣布:为了让用户更加方便了解他们与网站之间的连接是否安全,从2017年1月份正式发布的Chrome 56开始,Google将彻底把含有密码登录和交易支付等个人隐私敏感内容的HTTP页面标记...
Mozilla最近发布了一款名为Observatory的网站安全分析工具,意在鼓励开发者和系统管理员增强自己网站的安全配置。 该工具的用法非常简单:输入网站URL,即可访问并分析网站HTTP标头,随后可针对网站安全性提供数字形式的分数和字母...
0×00 背景 前段时间,腾讯反病毒实验室曝光了一批通过文件名控制木马行为的“百家”木马[1],该木马存在于某些安全软件白名单中,随后我们对该木马进行深入的分析挖掘,发现了其另一种入白方式——冒领数字签名(即通过伪造公司资料,向签名机构申请...
HTTP, HTTP2.0, HTTPS......这些词对于互联网行业从业者来说并不陌生,甚至常常被挂在嘴边。然而关于HTTP,HTTP2.0,SPDY,HTTPS,你真的足够了解吗?他们之间又存在着怎样的联系呢? 1. 什么是HTTP ...