HTTP的安全性问题
一般地,HTTP的报文在网络中是明文传输的。WEB服务器或者浏览器组装好HTTP数据包后,就直接递交给了传输层(一般是基于TCP的)进行传送。而通常情况下,我们的数据包不是直接传送到目标主机的,中间会经过很多的转发节点,比如寝室或家里的路由器,学校的网关路由器,运营商的路由器等。这中间的任何节点都可以截获我们的数据包,查看甚至篡改里面的内容然后再进行转发。
在这里,举三个例子。
例1:Cookie窃取
我们都知道,HTTP协议是一个无状态的协议,在不附带其他额外信息的情况下,服务器是无法分辨前后两次请求是否是来自同一用户的。因此,需要一些辅助手段来记录用户的信息。Cookie就是其中之一(Cookie的作用就不在这里详述了)。Cookie最常见的作用就是用来记录用户登录的Session ID。
我们首先来回顾一下登录的原理:
- 用户填写用户名、密码
- 发送登录请求,此请求会带上用户填写的用户名、密码,密码通常会再浏览器端先进行加密再传送
- 服务器接收到登录请求数据包,取出用户名、密码进行验证,验证通过则在服务器端创建一个记录用户信息的Session,然后构造响应数据包,并且在HTTP头里面增加一个Set-Cookie字段,把刚才创建的Session的ID放进去
- 浏览器接收到响应,并且把Set-Cookie头中的Cookie信息保存到本地
- 以后浏览器再向该网站发起请求的时候,都会带上本地存储的Cookie信息;同样,服务器接收到请求的时候,也首先去检查请求头的Cookie信息,如果Cookie里有Session ID并且该Session ID对应的Session在服务器端还存在且有效,则服务器允许用户进行操作,否则将用户重定向到登录页面。
如下图所示,这是登录之后浏览器存储的Cookie,里面有一个Session ID。
Cookie-Session
也就是说,如果我们的Cookie信息在传输的过程中被窃取了,窃取者就可以登录我们的账号了。我们拿163邮箱的登录举个例子。
-
首先,登录我们的163邮箱
163邮箱登录
-
然后,我们通过Chrome自带的Network工具随便获取一个到main.163.com的请求,并取出其中的Cookie信息
获取Cookie信息
- 接下来打开另外一个浏览器,访问 http://mail.163.com。如果你没有在这个浏览器登录过,这个时候是不会直接登录的。打开浏览器开发工具的JS控制台,输入如下代码,并且把刚才的获取的Cookie粘贴到Prompt弹框里面。这个时候我们获取的Cookie信息已经写入了新浏览器。按照设想,此时我们应该可以复原该账号的登录了。
写入Cookie
-
重新载入页面,果然,登录进去了。
复原登录
所以,从例子1我们能看出来,当我们的Cookie信息被窃取,账号就有可能被坏人登录,然后做一些坏事^。我们的QQ空间,人人账号,BBS等都有可能通过这种方式被别人登录,因为他们都是只基于HTTP的。所以,对于不信任的WIFI热点,最好少连,连了也不要登录这些只基于HTTP的社交账号。当然了,这里只是举了一个例子,能够被窃取的还不仅仅是Cookie信息。由此可见,HTTP安全性问题一:数据有被窃取的危险。
例2: 运营商HTTP劫持
明文HTTP数据包除了可以被窃取之外,还有可能被篡改,而且通信的双方都无法知道接收到的HTTP数据包是否被篡改过。
接下来,让我们来看一个HTTP数据包被篡改的例子。
我们有时候在浏览手机网页的时候,会发现页面出了正常的内容之外,还多出了一些奇怪的东西,如下图右下角的水泡。
HTTP劫持示意图1
点开一看,却是运营商充话费、充流量的一个导购页面。
HTTP劫持示意图2
当我通过电脑访问,或者手机从数据切换到WIFI环境再访问时,页面上的水泡就消失了。这说明,页面上的这个水泡是运营商做的手脚。通过对比发现,在使用运营商网络访问网页时,获取到的页面被插入了一段JS。而这段JS的作用就是生成那个水泡和运营商的导购页面。
HTTP劫持示意图3
这说明,我们的响应HTTP数据包在返回的时候被运营商截获并且修改了。虽然这一行为很无耻,但是用户和WEB服务提供者对此都无能为力。
例3:中间人攻击
中间人攻击举一个典型的公钥私钥加密通信的例子吧。
一般的场景是:A要与B进行通信,为了使通信内容保密,A会把自己的公钥发给B,B也会把自己的公钥发给A,然后A与B就可以进行加密通信了。但是,如果此时A与B中间有一个人C在窃听A与B的通信,当A把公钥发给B的时候,C把A的公钥截获下来并且把自己的公钥发给B,当B把自己的公钥发给A的时候,C把B的公钥截获下来并且把自己的公钥发给A,这样C就可以冒充A和B进行通信,也可以冒充B和A进行通信。A与B的通信内容对与C来说是毫无保密性可言的。
这中间的问题在于,当我拿到一个公钥是,我无法知道我拿到的公钥是不是我目标通信对象的。要解决这个问题,必须要有一种办法,让收到公钥的人能够确认公钥的真实性。这就是后面会讲到的证书的作用。
网友评论