二维码制作网站链接,自己做网站申请域名,网站建设关键的问题是,网站服务器申请前言 安全经常说“云、管、端”#xff0c;“管”指的是管道#xff0c;传输过程中的安全。为了确保信息在网络传输层的安全#xff0c;现在很多网站都开启了HTTPS#xff0c;也就是HTTPTLS#xff0c;在传输过程中对信息进行加密。HTTPS使用了对称加密、非对称加密、消息… 前言 安全经常说“云、管、端”“管”指的是管道传输过程中的安全。为了确保信息在网络传输层的安全现在很多网站都开启了HTTPS也就是HTTPTLS在传输过程中对信息进行加密。HTTPS使用了对称加密、非对称加密、消息摘要、证书等技术。但是我们也要考虑以下几个问题 1、如果确保全站HTTPS 2、HTTPS开启后还会遭受中间人攻击吗 下面的文章就来解释下第二个问题。 1. 缘起启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务但用户在访问某个网站的时候在浏览器里却往往直接输入网站域名例如www.example.com而不是输入完整的URL例如https://www.example.com不过浏览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器和浏览器的协作如下图所示。 图1服务器和浏览器在背后帮用户做了很多工作 简单来讲就是浏览器向网站发起一次HTTP请求在得到一个重定向响应后发起一次HTTPS请求并得到最终的响应内容。所有的这一切对用户而言是完全透明的所以在用户眼里看来在浏览器里直接输入域名却依然可以用HTTPS协议和网站进行安全的通信是个不错的用户体验。 一切看上去都是那么的完美但其实不然由于在建立起HTTPS连接之前存在一次明文的HTTP请求和重定向上图中的第1、2步使得攻击者可以以中间人的方式劫持这次请求从而进行后续的攻击例如窃听数据篡改请求和响应跳转到钓鱼网站等。 以劫持请求并跳转到钓鱼网站为例其大致做法如下图所示 图2劫持HTTP请求阻止HTTPS连接并进行钓鱼攻击 第1步浏览器发起一次明文HTTP请求但实际上会被攻击者拦截下来第2步攻击者作为代理把当前请求转发给钓鱼网站第3步钓鱼网站返回假冒的网页内容第4步攻击者把假冒的网页内容返回给浏览器这个攻击的精妙之处在于攻击者直接劫持了HTTP请求并返回了内容给浏览器根本不给浏览器同真实网站建立HTTPS连接的机会因此浏览器会误以为真实网站通过HTTP对外提供服务自然也就不会向用户报告当前的连接不安全。于是乎攻击者几乎可以神不知鬼不觉的对请求和响应动手脚。 2. 解决之道使用HSTS 既然建立HTTPS连接之前的这一次HTTP明文请求和重定向有可能被攻击者劫持那么解决这一问题的思路自然就变成了如何避免出现这样的HTTP请求。我们期望的浏览器行为是当用户让浏览器发起HTTP请求的时候浏览器将其转换为HTTPS请求直接略过上述的HTTP请求和重定向从而使得中间人攻击失效规避风险。其大致流程如下 图3略过HTTP请求和重定向直接发送HTTPS请求 第1步用户在浏览器地址栏里输入网站域名浏览器得知该域名应该使用HTTPS进行通信第2步浏览器直接向网站发起HTTPS请求第3步网站返回相应的内容那么问题来了浏览器是如何做到这一点的呢它怎么知道那个网站应该发HTTPS请求那个网站应该用HTTP请求呢此时就该HSTS粉墨登场了。 2.1 HSTS HSTS的全称是HTTP Strict-Transport-Security它是一个Web安全策略机制web security policy mechanism。 HSTS最早于2015年被纳入到ThoughtWorks技术雷达并且在2016年的最新一期技术雷达里它直接从“评估Trial”阶段进入到了“采用Adopt“阶段这意味着ThoughtWorks强烈主张业界积极采用这项安全防御措施并且ThoughtWorks已经将其应用于自己的项目。 HSTS最为核心的是一个HTTP响应头HTTP Response Header。正是它可以让浏览器得知在接下来的一段时间内当前域名只能通过HTTPS进行访问并且在浏览器发现当前连接不安全的情况下强制拒绝用户的后续访问要求。 HSTS Header的语法如下 Strict-Transport-Security: max-age[; includeSubDomains][; preload] 其中 max-age是必选参数是一个以秒为单位的数值它代表着HSTS Header的过期时间通常设置为1年即31536000秒。includeSubDomains是可选参数如果包含它则意味着当前域名及其子域名均开启HSTS保护。preload是可选参数只有当你申请将自己的域名加入到浏览器内置列表的时候才需要使用到它。关于浏览器内置列表下文有详细介绍。2.2 让浏览器直接发起HTTPS请求#### 只要在服务器返回给浏览器的响应头中增加Strict-Transport-Security这个HTTP Header下文简称HSTS Header例如 Strict-Transport-Security: max-age31536000; includeSubDomains 就可以告诉浏览器在接下来的31536000秒内1年对于当前域名及其子域名的后续通信应该强制性的只使用HTTPS直到超过有效期为止。 完整的流程如下图所示 图4完整的HSTS流程 只要是在有效期内浏览器都将直接强制性的发起HTTPS请求但是问题又来了有效期过了怎么办其实不用为此过多担心因为HSTS Header存在于每个响应中随着用户和网站的交互这个有效时间时刻都在刷新再加上有效期通常都被设置成了1年所以只要用户的前后两次请求之间的时间间隔没有超过1年则基本上不会出现安全风险。更何况就算超过了有效期但是只要用户和网站再进行一次新的交互用户的浏览器又将开启有效期为1年的HSTS保护。 2.3 让浏览器强制拒绝不安全的链接不给用户选择的机会#### 在没有HSTS保护的情况下当浏览器发现当前网站的证书出现错误或者浏览器和服务器之间的通信不安全无法建立HTTPS连接的时候浏览器通常会警告用户但是却又允许用户继续不安全的访问。如下图所示用户可以点击图中红色方框中的链接继续在不安全的连接下进行访问。 图5浏览器依然允许用户进行不安全的访问 理论上而言用户看到这个警告之后就应该提高警惕意识到自己和网站之间的通信不安全可能被劫持也可能被窃听如果访问的恰好是银行、金融类网站的话后果更是不堪设想理应终止后续操作。然而现实很残酷就我的实际观察来看有不少用户在遇到这样的警告之后依然选择了继续访问。 不过随着HSTS的出现事情有了转机。对于启用了浏览器HSTS保护的网站如果浏览器发现当前连接不安全它将仅仅警告用户而不再给用户提供是否继续访问的选择从而避免后续安全问题的发生。例如当访问Google搜索引擎的时候如果当前通信连接存在安全问题浏览器将会彻底阻止用户继续访问Google如下图所示。 图6浏览器彻底阻止用户继续进行不安全的访问 3. 道高一尺魔高一丈攻击者依然有可乘之机 细心的你可能发现了HSTS存在一个比较薄弱的环节那就是浏览器没有当前网站的HSTS信息的时候或者第一次访问网站的时候依然需要一次明文的HTTP请求和重定向才能切换到HTTPS以及刷新HSTS信息。而就是这么一瞬间却给攻击者留下了可乘之机使得他们可以把这一次的HTTP请求劫持下来继续中间人攻击。 4. Preload List让防御更加彻底 针对上面的攻击HSTS也有应对办法那就是在浏览器里内置一个列表只要是在这个列表里的域名无论何时、何种情况浏览器都只使用HTTPS发起连接。这个列表由Google Chromium维护FireFox、Safari、IE等主流浏览器均在使用。 5. 一些Tips Tips 1如何配置HSTS 很多地方都可以进行HSTS的配置例如反向代理服务器、应用服务器、应用程序框架以及应用程序中自定义Header。你可以根据实际情况进行选择。 常见的是在代理服务器中进行配置以Nginx为例只需在配置文件中加上下面这条指令即可add_header Strict-Transport-Security max-age31536000; includeSubDomains always; 不过需要特别注意的是在生产环境下使用HSTS应当特别谨慎因为一旦浏览器接收到HSTS Header假如有效期是1年但是网站的证书又恰好出了问题那么用户将在接下来的1年时间内都无法访问到你的网站直到证书错误被修复或者用户主动清除浏览器缓存。因此建议在生产环境开启HSTS的时候先将max-age的值设置小一些例如5分钟然后检查HSTS是否能正常工作网站能否正常访问之后再逐步将时间延长例如1周、1个月并在这个时间范围内继续检查HSTS是否正常工作最后才改到1年。 Tips 2如何加入到HSTS Preload List 根据官方说明你的网站在具备以下几个条件后可以提出申请加入到这个列表里。 具备一个有效的证书在同一台主机上提供重定向响应以及接收重定向过来的HTTPS请求所有子域名均使用HTTPS在根域名的HTTP响应头中加入HSTS Header并满足下列条件 过期时间最短不得少于18周10886400秒必须包含includeSubDomains参数必须包含preload参数 当你准好这些之后可以在HSTS Preload List的官网上https://hstspreload.org提交申请或者了解更多详细的内容。Tips 3如何查询域名是否加入到了Preload List 从提交申请到完成审核成功加入到内置列表 中间可能需要等待几天到几周不等的时间。可通过官网https://hstspreload.org或在Chrome地址栏里输入chrome://net-internals/#hsts查询状态。 总结 随着越来越多的网站开始使用HTTPS甚至是开启全站HTTPS数据在传输过程中的安全性能够得到极大的保障与此同时通过HSTS的帮助避免SSL Stripping或者中间人攻击能够使得数据通信变得更加安全。希望本篇文章通过对HSTS的解析能使得更多的开发团队将HSTS运用到自己的项目中。 作者独自旅行链接https://www.jianshu.com/p/caa80c7ad45c来源简书转载于:https://www.cnblogs.com/Eleven-Liu/p/10447145.html
