1 张三被勒索
张三去某地旅游,在一个小酒店入住。酒店很便宜,一天只要80元,但看着有点像黑店啊!
不过张三是谁,闯荡江湖这么多年,who怕who啊!
晚上百无聊赖,他连上酒店的wifi,先上银行网站给爸妈转了1000块钱,这是这个月的生活费。张三是个孝顺儿子!
然后他鬼使神差的打开了一个小电影网站,欣赏了几个动作片,放松一下。
第二天结账的时候,账单吓了张三一跳:1800!
什么?明明是80啊!老板不紧不慢的说:其中1720是保密费。你是不是上了一些不该上的网站?然后老板展示了几张图片,正是张三看过的动作片中的截图。
张三很火,但是也很担心:勒索1800块钱是小事,我昨天还做了银行转账,不会把我的账号密码拿去,把我的钱都给转走了吧?里面还有今年辛辛苦苦赚来的2万多块钱!
打工人不容易啊!
他赶紧拿出手机,关掉wifi连接,用流量查了一下余额。还好,钱还在!
为什么老板因为小电影勒索他,而不窃取他的银行卡密码呢?
原因是:张三上的银行网站使用了HTTPS加密:
而小电影网站没有用HTTPS,所以可以被酒店的WIFI捕获所有发送的信息。
没有使用HTTPS的网站类似这样:
我也很震惊,这个china竟然没有HTTPS。实际上很多正规的小电影网站都是HTTPS的,不信你去看看。
这样的真实事情,每天都发生在世界的各地!
你永远不知道你会不会成为下一个目标。所以认真读完这篇文章,你就不会成为受害者。
2 中间人劫持
张三正是遭受常见的网络陷阱:中间人劫持。大致过程是这样的:
张三通过酒店WIFI上网的过程是这样的:
1.浏览器发送消息给酒店WIFI
2.酒店WIFI发送消息给网站。
3.网站把内容发送给WIFI。
4.WIFI把网站内容发给浏览器。
在这个过程中WIFI就是中间人。实际上浏览器和网站中间还有很多中间人,比如运行商。
网站如果没有HTTPS网站,发送的信息都明文的,类似这样的文字:
传了什么消息,中间人看的一清二楚。一旦遭受中间人劫持,中间人可以做很多事情:
- 监控你的行为,然后勒索你,就像张三这样的情况
篡改你的发送信息:
- 你本来要给李四转账1000
- 中间人修改成给他自己转账10万。
- 记录你的银行卡密码,朋友聊天记录等
请大家注意,这里要害你的不是网站,而是中间人。中间人不光害你,他们也害网站。所以你和网站都是受害者!
如果你上了黑心网站,诈骗你的钱财,那是网站的问题,不是中间人的问题,那是另外一套诈骗方式了。
为了解决中间人劫持的问题,网站可以使用HTTPS,强迫浏览器和网站的通信加密。这个过程变成了这样:
虽然信息发送还是要经过酒店WIFI,但发送的都是密文,酒店WIFI看不懂,只能简单的帮你转发,什么事情都做不了。
如果你是冲着小电影来的吃瓜群众,就记住下面的结论:
1.使用公共WIFI的时候尽量不要上非HTTPS的网站,地址栏带小锁的网站才是安全的。
2.如果你必须得上,不要传敏感的信息。假设WIFI的老板知道你的一切网络活动。
3.在家是不是就可以不用在意HTTPS?还是要注意!虽然WIFI是你的,但你和网站中间仍然有很多中间人,比如运行商。
这真的很重要,请转发给需要的人,让社会少一分伤害!
技术原理
大致的原理前面已经讲清楚了,简单来说就是加密。但这里还有很多细节。
1. 用同一套密码做加密 - 对称加密
浏览器和服务器拥有同一套秘钥来加密和解密。浏览器发送消息之前先加密,服务器收到密文后用同一套秘钥解密。
但这里的问题是:
- 浏览器怎么知道秘钥是什么?
- 如果浏览器可以从网站获取秘钥,那中间人也可以轻松获取秘钥!
所以为了加密要先解决秘钥的交换问题。
2. 用非对称加密方式协商密码 - 公钥加密
还好有数学家研究出了一个加密算法,叫做公钥加密。公钥加密有两把钥匙:
- 一把是公开的,所有人都可以获取
- 一把是私有的,只有网站自己知道
这两把钥匙的神奇之处在于:
- 用公开钥匙加密,只有私有钥匙才能解密
- 用私有钥匙加密,只有公开钥匙才能解密
这样就可以协商密码了:
1.浏览器从网站获得网站的公钥
2.浏览器自己生成一个密码,用公钥加密,发送出去
3.密文传到WIFI上的时候,WIFI没有私钥,无法解开
4.WIFI只能乖乖的把密文原封不动的传给网站
5.网站有私钥,可以解开,这样浏览器和网站就成功交换了密码
6.从此,它们用这个密码加密数据,中间人无计可施
当然实际的密码交换过程比这个要复杂一些,但核心原理就是这样的。
3. 数字证书和CA认证机构
但这事还没完!中间人可以最开始就冒充网站,把它自己的公钥给浏览器:
1.浏览器试图获取某小电影网站的公钥
2.经过WIFI的时候,WIFI直接把自己的公钥给了浏览器。
3.浏览器用WIFI的公钥加密,发送密码。
4.WIFI用自己的私钥解密,获得了密码。从此浏览器发送的消息,WIFI都知道了。
5.WIFI把篡改后的信息,再用网站的公钥加密和网站沟通。
为了解决这个问题:
1.公钥必须得监管!不能随便谁的公钥都可以。
2.生成了公钥后,要先找监管机构盖个章,生成一个数字证书,这些机构被称为CA机构。世界上被认可的CA机构是有限的。他们签发证书一般都是收费的。
3.当浏览器获得一个公钥时,看看这个公钥是谁签发的。如果是它不认识的机构签发的,就提醒用户:这个证书是无效的。
4.这样中间人发来的公钥是无效的,浏览器一下就识别出来了。
所有电脑上都维护了自己信任的CA机构:
我们也可以手工修改添加自己信任的机构:比如把自己的公司加入到信任列表中去。这样自己公司可以签发证书。
这样基本上就彻底避免了中间人攻击。
关于Python技术储备
学好 Python 不论是就业还是做副业赚钱都不错,但要学会 Python 还是要有一个学习规划。最后大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
一、Python所有方向的学习路线
Python所有方向路线就是把Python常用的技术点做整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、学习软件
工欲善其事必先利其器。学习Python常用的开发软件都在这里了,给大家节省了很多时间。
三、入门学习视频
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
四、实战案例
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
五、面试资料
我们学习Python必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有阿里大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。
这份完整版的Python全套学习资料已经上传CSDN,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费
】
更多推荐
在酒店看小电影,他被勒索了1720元,懂点HTTPS真的很有必要
发布评论