谷歌Web技术开发专家:我们为什么需要HTTPS——一次有关银行、安全和中间人攻击的冒险之旅
本文由谷歌Web技术开发专家Uri Shaked发布在Medium.com 几周前,我坐在女友身边看她上网。当她试图登录银行账户时,我注意到这个银行的首页在地址栏上居然没有显示“挂锁”标记!重复刷新多次后才确认自己并没有看错。 尽管这只是个...
本文由谷歌Web技术开发专家Uri Shaked发布在Medium.com 几周前,我坐在女友身边看她上网。当她试图登录银行账户时,我注意到这个银行的首页在地址栏上居然没有显示“挂锁”标记!重复刷新多次后才确认自己并没有看错。 尽管这只是个...
本文由Scott Helme发布在其个人博客。Scott Helme是一名计算机安全研究员和国际讲师。他同时也是securityheaders.io 和 report-uri.io的创始人, 为各种组织开发免费的安全部署工具。 近年来,我们...
HTTP/2 (h2)来了,而且看起来很不错!它最有趣的新功能之一是h2 推送,该功能可使服务器不必等浏览器先发出确切请求就向浏览器发送数据。 这个功能非常有用,因为通常我们需要等待浏览器解析.html并找到所需的链接后才能发送数据。而这一...
著名英国媒体《卫报》于近期在其网站上分享了一篇关于网站迁移至HTTPS的博文。在这篇文章中,《卫报》讲述了他们如何在两个月内做到的全站加密并克服种种困难和挑战的过程。 为什么要进行全站迁移? 有关隐私 使用HTTPS时,互联网服务提供商(I...
TLS1.3是一种新的加密协议,它既能提高各地互联网用户的访问速度,又能增强安全性。 我们在访问许多网页的时候,常常会在浏览器的地址栏上看到一个锁的图标,并使用“https”代替传统的“http”。这里的“s”代表着安全。当你连接到一个HT...
HTTP Alternative Services(HTTP 替代服务)是今年上半年由 IESG 通过的一项与 HTTP 有关的新协议。估计很少有人能从名字上猜出它是用来干嘛的,本文从解决什么问题、如何使用以及真实场景下的应用三方面来介绍这...
OCSP 装订是OCSP(在线证书状态协议)检查证书的撤销状态的一种可选方案。它使证书颁发者承担为首次TLS握手提供附带(称为“装订”)时间戳的OCSP响应(由证书颁发机构签名)带来的资源消耗,这样客户就不需要联系证书颁发机构。证书持有者只...
密码学的基本原则之一是你不能把多条消息用同一种编码方式进行加密。那样的话,两条相同的明文会有相同的密文,这是个危险的漏洞。(这和你不能用ECB来加密块的道理类似。) 仔细考虑一下就会发现,一个纯粹的加密函数正像任何一个其他函数一样:具有确定...
随着无数网络“窃听风云”事件的曝光,SSL/TLS的一个不起眼的特性忽然引起了人们的兴趣,它叫做正向保密。那么它到底是什么,为什么现在引起这么多关注? 会话密钥的生成和交换 每个SSL连接都开始于一次握手,期间双方将自己的性能数据传递给对方...
请准备好新一波来自勒索软件的深深恶意!一个近期新发现的勒索软件Fantom,通过伪装成合法的微软Windows升级程序、诱导用户下载,来窃取用户数据。在当下系统表面安全,实则处处暗藏漏洞、危机重重的信息时代,恶意软件正前仆后继地冲击你的安全...