数据安全生态需要的不只是技术还有底线

图片 1

图片 2

近几年区块链的概念被各行各业炒的风生水起,有所向披靡之势的占领了各行业的头条。这个技术强调了数据的不可逆和不可修改的特性,这解决方案看似一个堡垒般的存在着。其实对于数据的真实性还是需要考量数据源,那才是真正判断数据本身和整个数据产业的价值的重点。那么目前数据源的安全能否得到保障,那些泄漏的数据是怎么产生的,盗取数据的目的是什么,能产生多大的利益瓜分。

  • 区别:

    • HTTPS协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。

    • HTTP是超文本传输协议,信息是明文传输;

    • HTTPS则是具有安全性的SSL加密传输协议。

    • HTTP和HTTPS使用完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

    • HTTP的连接很简单,是无状态的;

    • HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全

近日,绍兴警方破获了一起涉及30亿条用户数据窃取案件,媒体称之为“史上最大规模的数据窃取案”,受害者包括百度、腾讯、阿里、今日头条等全国96家互联网公司。

参考博文:HTTP与HTTPS的区别

瑞智华胜的案件暴露出了互联网数据安全的防御是多么脆弱。难以想象,一家不足百人的中小企业,就窃取了超过30亿条用户数据,这些用户好比是在社会中在“裸奔”,而且现在巨头之间出于利益目的,流量并不共享和置换,不同平台跳转之间的漏洞极易成为被入侵的命门,毫无防范和还手之力。。

-   缺点: 

    -   HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电;

    -   HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;

    -   SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。

    -   SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。

    -   HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。

图片 3

   

轻易“打败”这些互联网巨头的,是一家名为瑞智华胜的新三板上市公司。他们将自主编写的恶意程序放在运营商内部的服务器上,当用户的流量经过运营商的服务器时,该程序就自动采集用户cookie、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在瑞智华胜境内外的多个服务器上,从而实现了从运营商处窃取用户隐私数据,并且为旗下在微博、微信、抖音等互联网平台的账号强行加粉,一年营收超3000万元。

  • 客户使用https的URL访问Web服务器,要求与Web服务器建立SSL连接。

  • Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。

  • 客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。

  • 客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。

  • Web服务器利用自己的私钥解密出会话密钥。

  • Web服务器利用会话密钥加密与客户端之间的通信。

在互联网建设中数据传输过程通常有http和https两种传输方式。http用于客户端与服务器之间通信,通过请求和响应的达成通信,并且是不保存状态的协议,就是stateless协议。它自身不具备保存之前发送过的请求或响应的功能。
为了更快地处理大量请求并确保协议的可伸缩性,特意把这个http协议设计得这么简单。不加密的环境下,容易被一些恶意入侵。虽然现在越来越多的互联网公司都开始使用https作为加密传输协议,但是加密解密这个动作本身会增加终端或者服务器的负担、让手机更费电、增加服务器消耗和运营成本。HTTPS其实是在TLS/SSL上实现的HTTP协议,
通过公钥加密在网站服务器和用户之间协商生成一个共同的会话密钥。通过机制协商的会话密钥,用对称加密算法对会话的内容进行加密。再通过消息校验算法来防止加密信息在传输过程中被篡改。对于开发者来讲,一般的用户浏览的网页信息、图片加载这种都是通过明文传输的,只有登录名、登录密码这种是通过加密传输。
其实HTTPS也并非相对的安全。在用户无视浏览器的警告提示后,入侵者就能以此对证书伪造,还可以可以通过浏览器提供的HTTPS连接信息来查看其他机制的算法。

一、HTTP和HTTPS**的基本概念和区别**

相关文章