HTTP是否使用明文?
HTTP在传输过程中使用明文进行通信。这意味着HTTP请求和响应的内容都是以明文形式在网络上传输的,没有进行加密或者其他安全措施。
这种明文传输的特性导致了HTTP存在一些安全风险。首先,由于数据在传输过程中未经加密,攻击者可以截获并查看HTTP通信的内容,从而可能窃取敏感信息,如登录凭证、个人数据等。其次,HTTP请求和响应中的信息易受到篡改,攻击者可以修改传输的数据,包括页面内容、请求参数等,从而实施中间人攻击、注入恶意代码等攻击手段。
为了解决这些安全问题,可以使用HTTPS(HTTP over SSL/TLS)协议来保护通信过程。HTTPS通过使用SSL/TLS协议对HTTP进行加密和身份验证,确保数据在传输过程中的保密性和完整性。使用HTTPS可以有效防止窃听、篡改和伪装等安全威胁。
腾讯云提供了SSL证书服务,可以帮助用户快速部署和管理HTTPS协议,保障网站和应用的安全性。具体产品信息和介绍请参考腾讯云SSL证书服务页面:https://cloud.tencent.com/product/ssl
相关·内容
2回答
在有用户帐户的网站上,来自提交登录表单的所有HTTP请求都包含相同的信息,在HTTP请求中只有少数不同之处,例如输入的用户名、输入的密码和几个标头,如User-Agent。如果HTTPS用于加密请求,黑客将检查加密的请求,并知道用户试图使用火狐以Alice身份登录,黑客能够通过查看加密的HTTP请求的长度来计算密码的长度吗?
我想我的问题是HTTPS是否(或在多大程度上)泄露了加密消息的长度。
浏览 0提问于2021-06-02得票数 3
回答已采纳
因此,我使用ZeroTier VPN访问本地设备、路由器(我在路由器上安装了ZT )、本地服务器和设备(这里解释说)。但是,访问我的路由器--例如,我只访问它而不使用HTTP,例如http://192.168.1.1 --这与我在物理上接近路由器本身时所做的基本相同。
在我的笔记本电脑上,有一个ZeroTier虚拟网络适配器,它处理我对IP的访问,所以即使我远离物理位置,我也可以访问路由器,就像我在那里一样。
我的问题是,通过VPN访问非HTTPS是否安全?通常,通过HTTP查询参数或头,密码/会话都是HTTP有效负载的一部分。
浏览 0提问于2020-10-04得票数 0
1回答
我想设置我的网页来向Jetty服务器发出HTTP2请求。我读到浏览器将只使用"h2“协议,也就是说,HTTP2与TLS。但是,我的设置中有一个kubernetes入口执行SSL终端,并将一个明文请求代理回Jetty服务器。两难的是,我不想使用Jetty来协商"h2“连接,因为这需要该服务器上的SSL上下文。
我的问题是,这种设置是否允许浏览器执行HTTP2请求?如果是这样的话,我需要在Jetty服务器上启用什么才能正确地服务HTTP2请求?
浏览 2提问于2017-11-07得票数 2
回答已采纳
我的应用程序在SSL(https)上。如果用户尝试使用http访问url,webserver(weblogic)会自动重定向到https。如果安全标志为真,则cookie将在使用https访问的站点上传递。
在这里添加安全标志为true是否有意义,因为我的站点不会处理http请求并在内部将其重定向到https?
根据我的理解,我是否添加安全标志true没有任何区别,因为即使我使用http cookies访问站点也不会被传递。只有当我的when服务器重定向到https时,它才会通过。因此,即使不添加此配置,我也看不到任何漏洞。对吗?
浏览 3提问于2015-12-24得票数 0
Django表单在表单中使用CSRF令牌,甚至在将POST发送到django时也使用CSRF令牌。我有两个关于使用表单发布密码而不通过HTTP连接进行散列的问题-
使用django表单发布密码以进行身份验证是否安全?
向django-rest发布密码安全吗?
浏览 3提问于2015-08-04得票数 1
回答已采纳
1回答
偷饼干
、、
如果“HTTPS”网站上的cookies缺少“安全”旗帜,是否有可能通过MITM窃取这些饼干?
如果cookies有“安全”标志,是否有可能通过“HTTP”站点通过MITM窃取cookie?
浏览 0提问于2018-06-22得票数 0
回答已采纳
1回答
我正在尝试配置,这样我就可以通过域名访问服务,并且不必设置不同的端口。例如,两个MongoDB服务,都位于默认端口上,但位于不同的域中,即example.localhost和example2.localhost。只有这个例子起作用。我的意思是,其他的情况可能有效,但我无法与他们联系,我也不明白问题出在哪里。这可能不是Traefik的问题。
我准备了一个,并给出了一个有效的例子。您只需要使用生成自己的证书。example.localhost的页面返回403 Forbidden错误,但是您不应该担心它,因为此配置的目的是显示403 Forbidden正在工作(挂锁、绿色状态)。所以不要关注403。
浏览 9提问于2019-12-10得票数 15
我读过,但所有的答案似乎都不允许我做我想做的事。
我有一个Android应用程序,在这个应用程序中,另一个客户端可以用证书来标识自己。应用程序希望验证该证书。验证证书的一部分是从证书颁发者获取证书吊销列表(CRL)。证书中列出了CRL的分发点,它不可避免地是一个HTTP URL ( CRL本身由发行者签名,因此没有安全问题,如果它是HTTPS URL,则需要验证保护CRL分发点的证书,并检查它是否已被撤销.)
可能的解决方案,以及为什么它们对我不起作用:
不要担心它-让TLS库担心验证证书。不幸的是,两个客户端之间没有直接的TLS连接;它都是通过服务器(由TLS连接)来实现的。
创建n
浏览 1提问于2018-11-22得票数 5
回答已采纳
当非HTTP/S数据通过Wifi发送时,其他碰巧连接到同一接入点的机器是否会看到这些数据?
HTTP数据的隐私是否取决于网络的加密模式?
浏览 0提问于2014-11-21得票数 0
1回答
设置HTTPS并从HTTP重定向到HTTPS。无论是否使用HTTP和HTTPS,只要浏览到IP地址,效果都很好,并且可以完美地重定向。但是当浏览到X.X:443时,web服务器正在以原始html格式显示400个错误请求。我可以禁用400错误请求,也可以将这些请求重定向到HTTPS吗?请帮帮忙。谢谢!
浏览 0提问于2014-02-23得票数 0
1回答
我正在使用HTTP Digest连接到我的Spring应用程序,使用的是Spring DigestAuthenticationFilter。该应用程序使用的是Tomcat7。它与明文密码(在数据库中)配合使用时效果良好
我的问题是:我想存储散列密码(如果可能的话,使用盐),而不是明文。但是如果我理解得很好,HTTP Digest要求密码是明文的。
有没有办法在Spring Security中改变这一点?
浏览 2提问于2011-06-06得票数 9
回答已采纳
2回答
有可能窃听http响应吗?
、、、、
我是新的网络安全领域,现在我正在设计一个REST。
问题是http响应和请求是否会被窃听?
如果这是不可能的,那么我不需要加密响应json文件和请求参数。
浏览 2提问于2015-04-29得票数 0
回答已采纳
在nginx中使用proxy_pass,我可以使用以下两种方法:
proxy_pass http://backend;
proxy_pass https://backend;
问题是:我可以使用什么协议?特别是,我希望在明文(h2c)上使用HTTP-2。这个是可能的吗?是否有可与proxy_pass一起使用的协议列表?
浏览 10提问于2016-03-30得票数 2
回答已采纳
1回答
我正在试验HTTP/2,我在中找到了一些例子。下面是构造函数(跳过了样板代码):
public WebServer(String path, HttpServlet servlet, int port) {
Server server = new Server(new QueuedThreadPool());
ServletContextHandler context = new ServletContextHandler(server, "/", ServletContextHandler.SESSIONS);
context.addServlet(n
浏览 1提问于2017-05-29得票数 1
引用以下URL:http://cryptowiki.net/index.php?title=Goldwasser_米卡利_密码体制
消息的解密是基于位是否是QRn的,但是我们如何知道/验证(数学操作)是否是QRn。
浏览 0提问于2020-02-23得票数 0
回答已采纳
当我打开一个以"https://“in simple exo player,Video Player.但每当我尝试播放不安全("http://")网址,它不工作。如果你有任何解决这个问题的方法,请回答?
浏览 74提问于2021-11-07得票数 0
我只是想知道是否有人完全控制了他/她的网络,在运行我的移动应用程序。此外,wireshark正在捕获使用网络发出的所有请求。我的应用程序调用API端点(如http://bob.com/alice/param1/param2 ),并传递HTTP参数。
wireshark是否能够像这样捕获网络请求,并且url是否可见?
另外,有人可以跟踪我传递的HTTP参数吗?
如果我不使用HTTPS,这是明文吗?如果它只是一个HTTP调用呢?
如果不使用wireshark,还有其他方法来捕捉应用程序(android / iOS / PhoneGap / Ionic)发出的网络呼叫吗?
浏览 0提问于2019-06-14得票数 0
1回答
我正在创建一个工具栏应用程序,它将调用服务器上的URL并增加用户的点数(作为使用工具栏的激励)。现在,URL是一个GET(我可以并将其更改为POST)。
问题是,我需要确保有人不能使用任何形式的黑客来增加点数。当然,该URL是一个可公开访问的URL。
在这种情况下,基本HTTP身份验证是否有意义?如果是,我是否需要在工具栏中存储用户名-密码,这同样很容易被黑客入侵?
-thanks
浏览 1提问于2010-08-20得票数 0
1回答
我试图使用basic auth从服务请求身份验证令牌,下面是如何构建curl命令
curl -H "Authorization:Basic <base64 encoding user:pass>=" -H "Content-Type:application/x-www-form-urlencoded" -X POST -d "grant_type=basic" http://auth.mydomain.com/v1/oauth2/token
返回404,我已经尝试通过使用follwong来检查api是否存在。
curl -i -H &
浏览 5提问于2016-06-16得票数 0
回答已采纳
我正在复习我的古瑟尔密码学课程的(旧)笔记,我对SIV提供确定性认证加密(DAE)的描述感到困惑。所示的一般SIV结构是首先使用安全PRF计算明文上的MAC,然后使用CTR模式下的安全分组密码对明文进行加密,使用MAC标记作为IV和独立密钥。然后输出IV和密文。
据我所知,这本质上是一种加密和MAC方案,在我看来,它对与SSH相同的选择密文攻击开放吗?SIV是否有排除此类攻击的某些方面?或者这类攻击是否被确定性密文完整性的定义所排除?
来自http://cseweb.ucsd.edu/~mihir/papers/oem.pdf第17页:
E&M不提供INT.E&M也不能提供完整
浏览 0提问于2016-06-14得票数 14
回答已采纳
1回答
与其将http头中的身份验证令牌或api密钥以纯文本形式传递给服务器,不如计算其哈希并传递哈希。这样,即使对手拦截了哈希,对他们来说也是无用的。服务器也可以轻松地计算出实际密码的哈希值,然后检查它们是否匹配。也可以加盐。
它能用吗?这种方法广泛使用吗?
浏览 0提问于2016-04-09得票数 1
考虑到HTTP上的通信
使用SSL加密
使用公钥钉扎防止MiTM攻击
通过在基本访问身份验证上使用盐渍挑战响应认证机制 (SCRAM)并随后作为每个请求的令牌,安全性是否得到提升?
浏览 0提问于2018-07-03得票数 5
1回答
VPN提供者能看到我的数据吗?
、、、、
我有两个问题:
如果我使用VPN并通过HTTP访问任何网站- VPN提供商是否能够看到流量?那些。登录、密码、所有通过通道的文本(在这种情况下,如果数据没有加密)。
只有在使用HTTPS时才使用相同的选项(我猜在本例中--他们看不到)。
浏览 0提问于2016-05-15得票数 11
我的代码摘要:
foreach($html->find('a') as $element) {
。。我用在里面的文字如下:
$element->innertext
这是任何机会,只回音文本锚文本取消简单的HTML,我尝试抓取大约10k链接,但在某些情况下,它打印如果在<a tag,div代码,图像代码,等等。
如果<a tag是标准的(简单的),比如:
<a href="http://www.test.com">Anchor Text</a>
所以在本例中$element->innertext将是"A
浏览 3提问于2014-12-21得票数 3
回答已采纳
在Android 9中,Android阻止明文通信(HTTP),除非应用程序显式地允许它在配置中使用。
我将android:usesCleartextTraffic="true"添加到AndroidManifest.xml中的应用程序字段中,并成功地工作了。
问题是,允许透明文本HTTP流量的正确方式是什么?
我认为手工编辑AndroidManifest不是正确的方法。
浏览 0提问于2019-06-04得票数 1
我一直在使用Brian的实现来研究C++中的加密问题,如下所示:
https://github.com/BrianGladman/AES
我还找到了一些使用这个库的示例代码:
http://forums.devshed.com/programming-42/aes-encrypt-decrypt-687368.html
有关的编码部分如下:
void encrypt(const char *fileIn, const char *fileOut,
const unsigned char *key) {
...
/* pick a random initialisati
浏览 0提问于2016-12-15得票数 0
回答已采纳
我正在使用Java Toolkit for Rally REST API,并且我担心使用RallyRestApi类传递的凭据的安全性。RallyRestApi是否使用HTTP GET或POST方法进行身份验证?
下面是来自页面的用法示例:
RallyRestApi restApi = new RallyRestApi(new URI("https://rally1.rallydev.com"), "user@company.com", "password");
谢谢,尼克。
浏览 1提问于2012-07-24得票数 2
回答已采纳
1回答
我正在开发一个需要与服务器通信的嵌入式项目。服务器和设备都预装了AES密钥.
我有一个网络设备,它提供http服务,但不提供https。我的建议是AES加密post命令正文中的数据。
考虑到我拥有服务器的IP,AES密钥对于这个设备来说是唯一的,并且我在每个会话中旋转IV(这里的会话非常短),那么与在嵌入式设备上添加https相比,还有什么缺点呢?
我对http和restful服务很陌生。是否有标准的http头或S/MIME的用途?
提亚
浏览 0提问于2015-02-23得票数 -2
在GCM加密模式中,明文和AAD (附加认证数据)的混合有哪些限制?
AAD必须先于明文吗?或者,它可能是以纯文本代替?
在明文之前会有一个AAD块,在明文之后会有另一个AAD块吗?
AAD和明文是否可能以更复杂的方式交织在一起?
浏览 0提问于2018-05-25得票数 3
回答已采纳
1回答
我使用Mean堆栈开发了一个应用程序,用户可以在其中注册和登录。当用户在一段时间后返回应用程序时,我可以使用Express会话识别它,但我希望他在访问应用程序之前输入密码(或PIN)来确认其身份。
因此,我对一个API (传递密码或引脚)进行了HTTP调用,该API将返回true或false以允许访问该页面。
是否有人能够拦截HTTP调用(例如通过DevTools),拦截返回的值并编辑它,从而有效地绕过安全检查?
或者甚至拦截路由器变量并强制导航到特定的页面(否则不可用)?
Angular是否有内置的证券来防止这种情况,或者我必须自己实现它(在这种情况下,最佳实践是什么)?
浏览 0提问于2019-02-25得票数 0
回答已采纳
根据标题,除了蛮力之外,是否只有一个明文块对Threefish-512有任何攻击?在其他密码里有这样的攻击吗?
浏览 0提问于2012-07-17得票数 1
回答已采纳
1回答
我正在开发一个文件加密系统,其中可能存在同一文件的多个版本。文件名使用AES在CBC模式下使用随机IV加密,并存储在元数据中。由于同一文件的版本共享相同的文件名,此信息可能会被对手使用。是否有任何其他信息可以从已知共享同一明文的多个密文中得到,只需使用不同的IV?
浏览 0提问于2016-05-25得票数 4
回答已采纳
我知道您可以使用以下模式输入htpasswd受保护URL的用户名、密码和域:
http://$username:$password@$Domain
例:
http://sam:1234@example.com
但是对于HTTPS域来说,这是否有效呢?如果是的话,用户名和密码会在传输过程中被加密吗?
浏览 0提问于2019-06-24得票数 4
回答已采纳
1回答
如果原始数据的一部分已知,是否有任何可能的方法或攻击从加密数据中检索密钥?另外,如果一个文件被压缩然后加密,那么由于流行的压缩格式标头是众所周知的,压缩标头是否会提供任何线索来查找密钥?
浏览 0提问于2011-08-05得票数 1
回答已采纳
1回答
我已经使用我们自己的php api进行了一个soap调用。soap调用要求我们在soap头中发送用户名/密码,而他们只使用http,没有https。
这是否意味着,如果没有更改,我将以明文形式发送标题信息,任何人都可以免费转储?或者它是由php自己加密的?
浏览 5提问于2016-09-08得票数 1
该场景是具有web服务器的Ubuntu系统:
SSH残疾
用户没有任何终端访问权限
只启用HTTP和HTTPS
PHP和Apache在www-data下运行。
www-没有添加到sudeors中的数据
考虑到在系统中上传了php shell的用户,该用户是否可以仅通过知道根密码来提升权限?考虑到system()函数只能在www-data下运行shell命令。
浏览 0提问于2023-05-25得票数 1
1回答
假设您想对某个网站执行https请求,但中间有一个代理。
上述代理不会查看请求,而只是在用户代理使用HTTP CONNECT方法后将所有流量中继到实际的HTTPS服务器(就像在中一样)。
现在我的问题是:在代理打开到目标well服务器的SSL连接后,它是否也应该将处理与客户端的连接的套接字也升级到SSL?如果是这样,它如何在不嗅探实际内容的情况下将数据包转发到服务器?
我在这里的意思是,如果代理实际上从SSL客户端套接字读取数据,并将它们转发到SSL服务器套接字,数据将不会加密到它。
浏览 1提问于2012-04-30得票数 0
回答已采纳
1回答
好的,我有一个HTML DOM解析器。起作用了..。大概吧。它试图从一个有类的div女巫那里得到课文。
见主文件
<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv="content-type" content="text/html" />
<script type="text/javascript" src="//ajax.googleapis.com/ajax/libs/jquery/1.10.2/jquery.min.j
浏览 3提问于2014-01-20得票数 0
回答已采纳
1回答
如果我使用XTS-AES并将调整处理为nonce/IV,结果会被认为是无误用性的吗?
我在想一些类似于以下类似于AEAD的计划:
enc(encKey, macKey, plaintext, aad):
tweak = ... # 128 bits, generated like an IV or nonce
# pad the plaintext to handle shorter-than-16-byte inputs
# as well as determine the plaintext length after decryption
a = AES-XTS(encK
浏览 0提问于2018-06-03得票数 3
回答已采纳
使用grpc双向流,当我尝试运行Grpc时,出现以下错误
Connection Error
io.netty.handler.codec.http2.Http2Exception: HTTP/2 client preface string missing or corrupt. Hex dump for received bytes: at io.netty.handler.codec.http2.Http2Exception.connectionError(Http2Exception.java:82)
at io.netty.handler.codec.http2.Http2Con
浏览 23提问于2017-08-08得票数 13
1回答
我有一个nodejs应用程序,端口号是3001,这个应用程序可以使用http,但不能处理https。在apache服务器上,将revers代理设置为80或443到5001,并将revers代理设置为3001。
http://<domain>:3001/socket.io/socket.js ---> Work
https://<domain>:3001/socket.io/socket.js ---> Not Work(Secure Connection Failed or This site can’t be reached)
这里我需要知道相同
浏览 0提问于2016-12-14得票数 -3
假设我有一个3节点的Consul集群,使用未加密的RPC、HTTP API和八卦流量,还有一个3节点的Vault集群,每个集群都通过localhost与相应的Consul实例通信。假设没有对Vault本身进行未经授权的访问,这会带来什么安全影响?
特别是,由于Vault在将数据持久化到存储后端之前会对所有数据进行加密,因此我是否可以说,Vault持久化的数据并不比所有领事流量都完全加密时更安全?
对于此设置,是否还有其他需要考虑的安全问题?
浏览 2提问于2018-07-02得票数 1
BCrypt散列依赖于实现,对吗?我在客户端使用jBCrypt (android),在服务器端使用spring安全核心BCryptPasswordEncoder (使用相同的strength=10),我希望散列是相同的,但它们不是。
我的目的是在HTTP请求正文中散列密码,并且只比较服务器端的字符串。从安全的角度来看,这有意义吗?
浏览 0提问于2019-05-14得票数 0
回答已采纳
2回答
我对加密/解密有非常基本的想法,我想知道我们是否可以用这种方法破解任何加密。中断指的是检索加密的数据和key.Possibly搜索ransomware解决方案。
让软件攻击我们备份的(哑)数据。
然后,我们将有加密的数据和原始数据,并可以比较两者。
是否有可能通过知道加密的数据来破解任何加密?
浏览 0提问于2016-12-07得票数 -2
回答已采纳
我正在尝试测试在我的类型记录项目中的socket.io站点中显示的代码,但是类型记录定义似乎没有这个函数中调用的接口:
这是我的密码:
io.sockets.on('connection', function (socket) {
socket.emit('news', { hello: 'world' });
socket.on('my other event', function (data) {
console.log(data);
});
});
以下是错误:
error TS2094: The pro
浏览 1提问于2013-12-18得票数 0
回答已采纳
假设一台20世纪40年代或50年代的转子机器,有36个字符而不是26个字符。这10个额外字符的加密是否会削弱代码呢?还有什么更好的使用这些(或任何)额外的字符呢?
浏览 0提问于2015-08-17得票数 5
是否真的通过HTTPS使用HTTP基本身份验证处于与HTTP摘要身份验证相同的安全级别?如果是这样的话,HTTP摘要是如何实现这种安全级别的呢?是否将用户名和密码添加到身份验证头中?抱歉,我有点糊涂了。有人能帮帮我吗?Thnx :)
浏览 1提问于2015-03-05得票数 0
当我看到一次选择的明文攻击时,例如在AES上,块大小总是128位,这是否意味着攻击者将只提供128位数据字作为“纯文本”?
浏览 0提问于2011-08-29得票数 4
在GRPC上进行响应时间测试时,我遇到了这个问题,JMeter是一个spring启动服务器。我在类似的案例中读到过,它与TLS配置有关,但在我的案例中我不确定这一点。我只有在30秒内测试大约1000个请求,然后大约950个请求是ok的200个请求和50个抛出此服务器端异常的请求时才会出现此问题。
io.grpc.netty.shaded.io.netty.handler.codec.http2.Http2Exception: HTTP/2 client preface string missing or corrupt. Hex dump for received bytes: 1603010
浏览 433提问于2021-02-28得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
