您当前的位置:首页 > 电脑百科 > 安全防护 > 手机安全

Web和移动安全之​​Web PKI和HTTPS

时间:2023-07-04 12:14:34  来源:  作者:河南等级保护测评

图片

 

Web PKI和HTTPS

Web PKI和HTTPS[16,17]协议在现代移动和Web平台中发挥着核心作用,两者都基于客户端-服务器架构。在Web中,Web服务器或应用程序与浏览器交换信息。在移动平台上,应用与后端(Web)服务器交换信息。在这两种情况下,HTTPS应始终用于客户端和服务器之间的安全网络连接。为了建立安全的网络连接,使用了Web公钥基础结构。使用WebPKI和X.509证书,客户端和服务器可以相互进行身份验证并交换加密密钥材料以进行进一步加密的信息传输。本KA不会详细介绍身份验证过程和密钥交换程序的工作原理(参见网络安全CyBOK知识领域[5])。相反,它概述了特定于Web和移动平台的各个方面。

HTTPS是Web和移动设备上部署最广泛的安全网络协议。它将HTTP覆盖在TLS协议之上,以提供服务器的身份验证,以及传输中的数据的完整性和机密性。虽然HTTPS提供基于X.509证书的服务器和客户端的相互身份验证,但主要用途是对访问的服务器进行身份验证。与TLS类似,HTTPS通过防止中间人攻击来保护HTTP流量免受窃听和篡改。由于HTTPS封装了HTTP流量,因此它可以保护URL、HTTP标头信息(包括cookie和HTTP内容)免受攻击者的攻击。无论如何,它不会加密客户端和服务器的IP地址和端口号。虽然HTTPS可以隐藏客户端和服务器交换的信息,但它允许窃听者了解用户访问的网站浏览器的顶级域,并识别移动应用程序与之通信的后端服务器。

Web浏览器和移动应用程序都通过验证由证书颁发机构CA签名的X.509证书来验证HTTPS服务器。浏览器和移动应用程序附带预安装的证书颁发机构列表,或依赖于主机操作系统中预安装的CA列表。现代浏览器和现代移动平台上的预安装证书颁发机构列表通常包含数百个CA。要获得信任,HTTPS服务器证书需要由一个预安装的CA签名。5

现代浏览器在无法验证服务器证书时向用户显示警告消息(例如,参见图4)。警告消息旨在指示中间人攻击。但是,警告消息的常见原因是证书无效、为不同主机名颁发的证书、客户端和服务器之间的网络错误以及客户端,例如错误配置的时钟[45]。在大多数情况下,浏览器用户可以点击警告消息并访问网站,即使无法验证服务器证书[46]。浏览器在地址栏中使用彩色指示器来显示网站的安全信息。通过HTTP加载的网站,通过HTTPS加载的网站,通过HTTP连接加载其某些内容(例如cssJAVAScriptfiles)6使用无效证书但用户单击警告的网站将显示为不安全。具有有效证书的HTTPS网站会显示相应的安全指示器(例如,参见图4)。相比之下,移动、非浏览器应用程序的用户无法轻松验证应用程序是否使用具有有效证书的安全HTTPS协议。没有类似于浏览器中使用的可视化安全指示器可用。相反,用户必须信任应用程序开发人员对HTTPS连接采取所有必要的安全措施。

图片

截至2019年,大多数流行的网站都支持HTTPS,并且从客户端到Web和移动应用程序中的服务器的大多数连接都使用HTTPS来保护其用户抵御中间人攻击。为了进一步提高HTTPS的采用,鼓励服务器运营商对所有连接使用HTTPS并部署HTTP严格传输安全(HSTS)[47]。此外,如果可能的话,浏览器用户可以安装扩展和插件来重写不安全的HTTPURL,以保护HTTPSURL[48],移动应用程序框架使HTTPSHTTP连接的默认网络协议。

使用HTTPS可以保护内容免受攻击者的攻击,但不会保留元数据(例如,用户访问的网站)。请参阅隐私和在线权利CyBOK知识区[49]以获取更多信息,包括隐私浏览和Tor网络。

恶意证书颁发机构和证书透明度 Web PKI 允许每个受信任的根证书颁发机构为任何域颁发证书。虽然这允许网站运营商自由选择其网站的CA,但过去一些CA出于恶意目的颁发了欺诈性证书。其中一个最突出的例子是DigiNotar CA,它在2011年[50]为包括谷歌GmAIl服务在内的多个网站颁发了欺诈性证书。没有人因这次袭击而受到指控。然而,DigiNotar于2011年破产。证书透明度[51]被引入到欺诈性证书签发中。证书透明度提供防篡改的数据结构,并监控参与 CA 的所有证书颁发过程。虽然它不能防止欺诈性证书的签发,但它提高了被发现的机会。客户端可以验证证书透明度提供程序的正确操作,并且应仅连接到使用包含签名证书时间戳的X.509 证书的网站。大多数主要的证书颁发机构和浏览器供应商都支持证书透明度。

收录于合集 #网络安全知识体系
 498个
上一篇Web和移动安全之​基于权限对话框的访问控制下一篇Web和移动安全之​​​Cookie


Tags:移动安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
Web和移动安全之​​​​​沙盒
沙盒现代移动和浏览器平台都利用不同的沙盒技术来隔离应用程序和网站及其内容(参见操作系统和虚拟化CyBOK知识领域[3])[37,38]。这也旨在保护平台免受恶意应用程序和站点的侵...【详细内容】
2023-07-09  Search: 移动安全  点击:(102)  评论:(0)  加入收藏
Web和移动安全之​​​Cookie
CookieWeb 服务器可以使用 HTTP cookie 将有状态信息与特定客户端相关联[56]。Cookie 信息(例如,添加到在线商店购物车的商品的 ID)由客户端存储。Cookie 允许客户端和服务器...【详细内容】
2023-07-05  Search: 移动安全  点击:(174)  评论:(0)  加入收藏
Web和移动安全之​​Web PKI和HTTPS
Web PKI和HTTPSWeb PKI和HTTPS[16,17]协议在现代移动和Web平台中发挥着核心作用,两者都基于客户端-服务器架构。在Web中,Web服务器或应用程序与浏览器交换信息。在移动平台上,...【详细内容】
2023-07-04  Search: 移动安全  点击:(121)  评论:(0)  加入收藏
中国银联正式推出移动安全支付产品——手机盾
近日,中国银联推出移动安全支付产品——手机盾。中国银联已与中国工商银行签署手机盾联合创新合作协议,目前工行员工在内部试用,不日将对普通用户开放。手机盾是中...【详细内容】
2020-04-27  Search: 移动安全  点击:(729)  评论:(0)  加入收藏
网络安全攻防技术:移动安全篇
随着移动通信技术和移动应用的普及,无线网络、移动智能设备等正以前所未有的速度迅猛发展,已经渗透到了社会的各个方面,成为人们生产和生活不可或缺的工具和手段。此外,被誉为继...【详细内容】
2019-11-04  Search: 移动安全  点击:(647)  评论:(0)  加入收藏
▌简易百科推荐
国家计算机病毒应急处理中心监测发现14款违规移动应用
国家计算机病毒应急处理中心近期通过互联网监测发现,14款移动App存在隐私不合规行为。1、无隐私政策。涉及2款App:《晁藤》(版本1.3.36,应用宝)《门诊大厅》(版本4.8.0,当快软件园)...【详细内容】
2024-03-22    北青网  Tags:违规移动应用   点击:(21)  评论:(0)  加入收藏
木马病毒蔓延至iOS:苹果用户如何防范?
近期,网络安全公司Group-IB发布了一份引人注目的报告,揭示了黑客已经开始针对iPhone用户发起银行木马攻击。这一事件标志着iOS系统首次遭受此类安全威胁,为全球的苹果用户敲响...【详细内容】
2024-02-18  轻美科技    Tags:木马病毒   点击:(39)  评论:(0)  加入收藏
黑客利用iOS系统中的三个零日漏洞在iPhone上安装间谍软件
2月7日,据谷歌威胁分析小组(TAG)发布的报告,黑客成功利用存在于苹果iOS系统中的三个零日漏洞,在iPhone上安装了由Variston开发的间谍软件。Variston是一家位于巴塞罗那的网络公司...【详细内容】
2024-02-07    中关村在线  Tags:零日漏洞   点击:(57)  评论:(0)  加入收藏
手机安全防范指南,帮助你避免手机病毒、恶意软件、诈骗信息的侵害
以下是一些手机安全防范指南,可以帮助你避免手机病毒、恶意软件、诈骗信息的侵害: 谨慎下载未知来源的应用程序:不要随意下载未知来源的应用程序,因为这些应用程序可能包含恶意...【详细内容】
2024-02-01    简易百科  Tags:手机安全   点击:(64)  评论:(0)  加入收藏
如何防范和查杀手机病毒?
随着智能手机的普及,手机病毒也日益猖獗,给用户带来了很大的安全隐患。为了保护自己的手机安全,我们需要了解如何防范和查杀手机病毒。首先,我们需要了解手机病毒的传播途径。一...【详细内容】
2024-01-31    简易百科  Tags:手机病毒   点击:(109)  评论:(0)  加入收藏
守护手机安全:抵御黑客攻击的防御策略
在数字化时代,手机已经成为我们生活、工作和娱乐的核心工具。然而,随着手机功能的日益强大,黑客攻击的风险也随之增加。如何保护手机免受黑客攻击,确保个人信息安全,已成为我们必...【详细内容】
2024-01-31  果果的日记    Tags:手机安全   点击:(41)  评论:(0)  加入收藏
微信提醒这些文件不要点!当心木马病毒程序 远程控制电脑
日前,“微信安全中心”公众号表示,近期收到用户投诉,有不法分子利用钓鱼网页、即时通讯工具等方式进行“投毒”。大范围传播带有木马病毒程序的文件压缩包,利用文件名称和话术引...【详细内容】
2024-01-17    驱动之家  Tags:木马病毒   点击:(89)  评论:(0)  加入收藏
手机中了木马病毒什么样?
手机中了木马病毒是一种比较常见的网络安全问题。木马病毒是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的病毒。一旦手机中了木马病毒,可能会对用户的隐...【详细内容】
2024-01-11    简易百科  Tags:木马病毒   点击:(113)  评论:(0)  加入收藏
iPhone遭史上最复杂攻击!攻击代码高达数万行 360周鸿祎:国家级黑客编写
快科技1月2日消息,最近#iPhone遭遇史上最复杂攻击#的话题登上热搜。据了解,今年6月份卡巴斯基发布报告称,发现了一个非常复杂的iMessage漏洞,可以向iPhone植入恶意程序,收集麦克...【详细内容】
2024-01-03    快科技  Tags:iPhone   点击:(78)  评论:(0)  加入收藏
iPhone遭史上最复杂攻击,谁会中招,影响多大?
贝壳财经原创出品记者 孙文轩编辑 岳彩周 “iPhone遭遇史上最复杂攻击”近日登上热搜。消息称,一条“iMessage信息”就能使用户手机里的地理位置、录音、照片和其他重要内...【详细内容】
2024-01-02  理财帮  今日头条  Tags:iPhone   点击:(92)  评论:(0)  加入收藏
站内最新
站内热门
站内头条