关于运营商劫持 :
什么是运营商劫持??
运营商劫持 == 你一级的红buff 被对面平a抢走
什么是运营商?
- 运营商是指那些提供宽带服务的ISP,包括三大运营商中国电信、中国移动、中国联通,还有一些小运营商,比如长城宽带、歌华有线宽带。
- 运营商提供最最基础的网络服务, 掌握着通往用户物理大门的钥匙。
为什么要劫持?
- 网络运营商轻易劫持的能力,并且 劫持 几乎等于 抢劫,有大量的收益
如何劫持?
域名劫持,跟PC端相似,用户在正常联网状态下(4G/WiFi),目标域名会被恶意地错误解析到其他IP地址,造成用户无法正常使用服务。
数据劫持,对于返回的内容,会在其中强行插入弹窗或嵌入式广告等其他内容,干扰用户的正常使用。一来由于劫持者替换了自己的广告,导致正常产品的广告无法展示,因此给互联网公司造成直接经济损失;其次互联网公司每年都会投入大笔的资金资源去获取流量,但是由于劫持,用户正常流量被伪装成渠道流量,导致投入的资金被嫁接到做劫持的渠道中。打个比方:
劫持的危害
你给女朋友互相写情书,但是你们发出的信件居然连信封都没有,而送信的邮差恰恰是个流氓。。。(画面太美,想象不下去了)
还有更猛烈的。运营商即使再无节操,也是有基本底线的。但如果黑客利用运营商强上你的时候留下的漏洞,“黑吃黑”地再次劫持了你的数据,那么事情的发展就不在掌握中了。黑客完全可以调用你的摄像头、获取你的所有登陆密码、读取或修改你手机上的所有文件,包括照片,嗯。
互联网公司怎么办?
告上法庭:法律并不健全,一个小小公司跟 运营商 玩 ??!
发挥互联网公司的技术优势:我们可以发现 互联网之所以劫持,并精准的投放给你不同类目的东西,一切都源于 “信息透明”。
假如信息不再透明:
你给女朋友互相写情书,信封包死,送信的是个流氓,但他却不能打开信封
运营商 拿到你的请求 一脸懵逼 ,即便黑客,拿到你的数据,啥也看不懂,那岂不是一点办法都没?
HTTPS
什么是HTTPS
HTTP :HyperText Transfer Protocol,超文本传输协议
HTTPS :可以理解为HTTP+SSL/TLS。SSL/TLS是一种密码通信框架,他是世界上使用最广泛的密码通信方法。(现在用的都是TLS,SSL已经被淘汰了)
HTTPS就是互联网公司为了数据传输安全,而对HTTP进行加密升级的协议
一些概念:
明文:明文(plaintext)是加密之前的原始数据
密文:通过密码(cipher)运算后得到的结果成为密文
秘钥:密钥 (key) 密钥是一种参数,它是在使用密码(cipher)算法过程中输入的参数。
很多知名的密码算法都是公开的,密钥才是决定密文是否安全的重要参数,通常密钥越长,破解的难度越大,加密就是 将明文通过密钥转变成密文;解密就是 将 密文通过密钥转变成明文。
对称加密:对加密和解密 使用相同密钥。
非对称加密:加密和解密 使用不同密钥。
HTTPS加密
1. 对称加密:
对称加密 :同一把密钥进行加密、解密;
但是有个问题,我们如何保证把这个密钥 发送给对方呢?
密钥也很容易被攻击者截获,攻击者通样能够进行加密解密,这样的话,加密就没有了意义。
2. 非对称加密
非对称加密 :用一把密钥进行加密(公钥),用另一把密钥进行解密(私钥)。
这样的话,攻击者只能截获到 密文和公钥,并不能进行解密。
但是,非对称加密保证了数据的安全性,但由于数学上的复杂性,加密解密的效率是很低的
3. 非对称加密+对称加密
非对称加密传输密钥,对称加密传输数据。
这样既保证了安全,又保证了效率。
~~~~~~看似安全~~~~~~~看完下图你还会觉得安全吗?~~~~~
4. 加密方案 --- 重点
防止中间人攻击,我们又引入了一个 “证书”
证书机制:引入一个公正的有权威的第三方,当某一方想要发布公钥时,它将自身的身份信息及公钥提交给这个第三方,第三方对其身份进行证实,如果没有问题,则将其信息和公钥打包成为证书(Certificate)。而这个公正的第三方,就是常说的证书颁发机构(Certificate Authority)。当我们需要获取公钥时,只需要获得其证书,然后从中提取出公钥就可以了。
HTTPS 在内容传输的加密上使用的是对称加密,非对称加密只作用在证书验证阶段。
通过第三方证书的验证,我们客户端就可以判断 这个公钥是否被掉包了,这样也就破解了中间人攻击。
最后一个小问题:这样就真的安全了吗? 道高一尺魔高一丈