中间人攻击 MITM
a想给c发信息,这时候b劫持了某个路由器,然后进行中间人攻击声称自己是c,把自己的公钥发给了a,这时候a以为是c发来的公钥,就用这个公钥进行加密并传输自己本应传输给c的内容,这时候b劫持内容,用自己的私钥解密,再修改内容,再向c说自己是a希望跟他通信再得到c的公钥,用c的公钥给内容加密,将这个数据包发给c,完成中间人攻击。
https通信原理
https是http+ssl,利用非对称密钥加密实现数据传输安全。为了同时保证通信过程的安全性与可用性,HTTPS选择了折中的方案,即使用非对称加密算法加密对称加密算法的密钥,有点绕,下列步骤即为https的认证步骤。https主要解决身份认证问题与明文传输问题。
浏览器请求HTTPS网站,同时携带浏览器支持的加密算法类型
服务器接到请求,确定加密算法;
服务器将数字证书反馈之浏览器;
浏览器认证数字证书,并生会话密钥R(对称加密),使用服务器公钥将会话密钥加密;
浏览器将密文发送至服务器;
服务器使用私钥进行解密得到会话密钥R;
服务器使用会话密钥R将网页内容反馈之浏览器;
浏览器使用会话密钥R解密,获得网页内容
http服务端响应的状态码
100 通常表示服务期还有后续事物要处理,一般不出现
200 通常表示访问正常
300 重定向
400 表示客户端请求错误
401 需要身份验证
402拒绝访问
403无权限访问
404没有这个资源
500 服务器内部错误
503 服务不可用