用了HTTPS,没想到还是被监控了!

最新推荐文章于 2024-10-11 14:38:32 发布
转载 最新推荐文章于 2024-10-11 14:38:32 发布 · 516 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s/obX5MtxOLJINUEn-5ialdw
文章标签:

#https #网络 #服务器

HTTPS通过加密保护数据传输,防止中间人攻击和网络监控。但若证书被伪造或系统中存在假的根证书,安全可能会被破坏。文章通过一个实例解释了HTTPS证书验证的过程,并提醒用户检查浏览器的HTTPS证书签发机构。

上周,微信里有个小伙伴儿给我发来了消息:

随后,我让他截了一个完整的图,我一瞅,是HTTPS啊!没用HTTP!再一瞅,是www.baidu.com啊,不是什么山寨网站!

我瞬间明白了些什么,让他点击了一下浏览器地址栏中那个表示安全的小锁标志,查看了一下网站使用的HTTPS证书。

果然不出我之所料,证书不是官方的,官方的证书长这样:

而那个假的证书是他们公司签发的,看来,他们公司开始对HTTPS流量做解析了,这家伙瞬间瑟瑟发抖···

今天就来跟大家聊一下:HTTPS真的安全吗?

现如今大家每天上网基本上看到的都是使用了HTTPS的网站,有时候特意想找一个HTTP的网站来让新同学练习抓包分析都不好找。

但在几年前,差不多我刚刚开始毕业工作(2014年)的时候,情况却不是这样的,网络上还有大量使用HTTP的网站。

大家知道,HTTP是超文本传输协议,数据内容在网络中都是明文传输的,非常不安全。同在一个宿舍里的同学,随便搞一个中间人劫持就能监听到你浏览了什么视频学习网站。

不仅如此,上网链路中包括寝室路由器在内的各级网络设备都可以探知你的数据,甚至给你插入小广告(其实这种现象现在依然存在,尤其是很多医院、学校的网站,还是很多都是用HTTP,特别容易粘上小广告),一不小心就跳到了广告页面,真是防不胜防。

不久,网站HTTPS化的浪潮很快打来,通过加密这一最简单直接的办法,将浏览器上网过程中传输的数据进行加密保护,上网内容的安全性得到了极大的提升。

我之前写过一篇故事深入浅出的描述了HTTPS的工作原理,还不懂的小伙伴儿可以学习一下,我经常也会在面试中考察候选人这个问题,这可以迅速帮助我知道对方对HTTPS的了解程度。

为了一个HTTPS,浏览器操碎了心···

咱们通过下面的快问快答环节来简单总结一下。

HTTPS为什么安全呢?

因为数据加密了啊~

那数据加密的秘钥怎么来的?

是双方通过相同的随机数计算出来的。

那随机数怎么传输的?

使用非对称加密传输的,浏览器使用服务器提供的公钥加密,只有服务器使用自己的私钥才能解开,别人解不开。

你怎么知道那是服务器的公钥,万一是别人的,中间人攻击呢?

有证书来证明服务器身份

证书万一是假的呢?

不可能,假的证书不是受信任的机构签发的,浏览器会验证通不过。

那浏览器怎么知道证书的签发机构是不是受信任的?

因为受信任机构的根证书安装到了系统中,你总得相信微软吧!

要是假的根证书被安装进了系统咋办?

看到了吧,HTTPS能够安全的基石是非对称加密,非对称加密建立的前提是对方真的是对方,如果这一个前提不成立,后面的一切都是假的!

网站服务器使用HTTPS进行通信时,会提供一个用于证明身份的证书,这个证书,将会由某个受信任的机构签发。

浏览器拿到这个证书后,会校验证书的合法性,去检查证书的签发机构是不是受信任的。

那如何去检查签发机构是不是受信任的呢?

答案是继续检查签发机构的证书,看看是谁给他签发的,一直这样追溯,直到找到最终的签发者,看看最终的签发者的证书是不是安装在操作系统的受信任的根证书列表中。

是不是已经晕了?没关系,我们来用百度的那个证书为例,看一下这个过程,你就知道什么意思了。

你可以通过点击证书路径tab页面查看证书的签发链条:

通过这个树形结构图,可以清晰地看到:

baidu.com这个域名使用的证书,是由名为GlobalSign Organization Validation CA - SHA256 - G2的颁发者签发的。

而这个颁发者的证书,又是由GlobalSign Root CA - R1签发的。

浏览器拿到这个最顶层的签发证书后,去操作系统安装的受信任的根证书列表中一找,嘿,还真让它找着了!

于是,浏览器信任了这个证书,继续接下来的通信过程。

如果找不到,浏览器就会弹出不受信任的消息,提醒用户要当心了!

而如果,有人在你的电脑中安装了一个自己的根证书进去,骗过浏览器,这一切安全的根基也就倾覆了。

而文章开头那个小伙伴儿之所以弹出了那个窗口,多半是根证书还没安装进去,就开始了HTTPS劫持。因为重启之后,便再也没有这些提示信息,一切如往常一样风平浪静,只不过上网的流量已经被公司悉数掌握。

看到这里,还不赶紧点开浏览器地址栏的那把锁,看看证书的签发机构是不是你们公司?

如果是,那恭喜你了~

最后,给大家留一个思考题:微信会受到这种HTTPS劫持的影响吗?

视频监控平台和视频接入网关,支持HTTPS实现视频浏览和录像回放
weixin_70208651的博客
03-30 2311
AS-V1000视频监控平台和视频监控接入网关的web客户端,通看实时视频和录像视频,用http协议,也可用https协议,进行视频查看、录像回放,也支持音频收听,语音广播,国标28181语音对讲,公网语音对讲。https协议可理解为http协议+SSL/TLS协议,即通过SSL证书校验服务器的信息并对服务器和浏览器之间的通信信息进行加密。https在安全性提升、用户身份验证、防止中间人攻击、数据传输可靠、提升用户信任、合规性要求、避免IP地址暴露、支持HSTS等方面都有优势。
女友老背着我玩手机,感觉要被绿啊!吓得我赶紧写了个Python监控她的微博!
weixin_52994140的博客
08-28 702
由来 最近下班回到家,女朋友都坐在沙发上玩手机,我习惯的坐她旁边,头枕着她的腿,借此来休息一下。然后发现她边看边笑,于是就问到,你刷到啥了,这么好笑给我看看,她立马就说:没有,就是刷了两下微博。以前她关注的小哥哥的微博还是挺多的。所以后面我就用我的账号去看了一下,没想到我居然被拉黑了,那么我忍不了! 抓到证据了就直接提分手,居然想绿我,我连夜就写了个监控她的微博脚本!24小时监控,就不信抓不到! 工具 今天要用到的工具 Python版本:3.6.4 相关模块: ...
面试管:用了HTTPS就安全了吗?HTTPS 会被抓包吗?
架构文摘
05-23 1731
点击蓝色“架构文摘”关注我哟加个“星标”,每天上午 09:25,干货推送!来源:https://www.cnblogs.com/leap/p/11953836.htmlHTTPS随着 H...
https证书劫持是什么意思
蔚可云的博客
10-08 1415
每个专业都有自己的专有名词,如果自己对这个专业不是特别的了解,那么就不了解这个专有名词的意思。尤其是对互联网知识来说,多少人都基本上不懂,所以才更需要去学习,然后自己在浏览的时候遇到任何的问题才能在不求助别人的情况下自己做出合理的判断。这一次我们学习一下什么是https证书劫持,对于这个问题了解之后,就会知道我们在浏览器发生什么情况的时候见过,而这些网站最后的安全性高不高。 1.网页劫持是什么意思 在生活中看到这两个字,肯定是往坏处想,是人被劫持,还是东西被劫持,而遇到劫持之后我们只能放弃自己的财产保证
SSL证书常见错误及解决办法
HoewDec的博客
03-24 6054
解决SSL错误的方法相对比较简单,但用户需要保持高度警惕,远离那些不安全的网站,以保护自己的网络安全和隐私。以上就是关于ssl错误的全部内容,其实ssl一旦证书错误可能会导致您无法访问网站或者使您的交易信息变得不安全。但是,如果是因为网站本身不安全导致SSL错误,则需要远离这些不安全的网站,以确保用户的网络安全。如果您的浏览器同样对其他网站的证书存在相同的问题,那么很可能是您的浏览器或操作系统的错误。3、如果您发现SSL证书错误出现在您拥有的网站上,您需要检查是否已经正确安装了SSL证书。
https原理剖析
疯一样的女子
12-04 842
“随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。 大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA 证书等。 但对于以下灵魂三拷问可能就答不上了: 为什么用了 HTTPS 就是安全的? HTTPS 的底层原理如何实现? 用了 HTTPS 就一定安...
Python竟然能监控抖音?这也太刺激了!
爬遍所有网站
06-04 849
最近发现抖音有一个新功能,可以显示抖音的在线状态,如下图所示: 于是我突发奇想,决定用python监控一下某位好友的在线状态,没想到还有意外的收获。 本次监控主要用到python的appium库,关于appium的使用和安装,网站有很多教程,但是我一个都没试成功过,于是我一咬牙自己做了一套,教程在文末,不成功过来找我!!! 首先用appium客户端打开抖音,配置如下: { "platformName": "Android", "deviceName": "VOG-AL0...
这个故事告诉你为什么家里也需要安装隐蔽监控摄像机
速名网
01-26 1298
在家里安装一个隐蔽的监控摄像机是什么体验?你想要从中获取什么利益。众所周知,家庭是我们人生最后一道防线,也是在复杂生活环境下放松压力的最后一个堡垒。但是还有很多人在这个堡垒中失手,并且陷入深渊无法自拔。
Sentinel做服务熔断与限流,服务能被监控,但是监控列表为空的问题思考
两米以下皆凡人的博客
02-22 1946
首先我觉得,服务和Sentinel不在同一台机器上面,本身是能够正常监控的,只要保证两台机器能够在一个内网中,能够互相连通即可 我在学习Sentinel的时候,我盲目使用云服务器的docker拉取Sentinel镜像,但是我开启了服务后,服务虽然能被Sentinel监控,但是监控列表为空 当我用本机Windows下载Sentinel运行,监控列表又能正常显示 我纠结了这个问题很久,网上也找到了很多的解决方案,他们无非是在配置文件中添加了一行client-ip又或是clientIp,跟上本机.
使用安卓手机用作电脑性能监控(免ROOT)
Truraly幻想乡
07-09 1993
来自🥬🐶程序员Truraly | 田园(欢迎关注)
Linux系统中进行HTTP/HTTPS流量监控
weixin_73725158的博客
10-11 745
另一种更合法和安全的方法是使用专门的HTTPS流量分析工具,如。通过选择合适的工具和方法,管理员可以全面了解网络流量的分布和特性,及时发现潜在的安全威胁,并采取适当的措施来优化网络资源的利用。通过监控HTTP/HTTPS流量,管理员可以了解网络流量的分布、识别潜在的安全威胁,并优化网络资源的利用。,这些工具能够解析HTTPS流量中的元数据(如IP地址、端口号、主机名和URL等),而不需要解密流量内容。能够捕获HTTPS流量的数据包,但由于HTTPS是加密的,因此无法直接查看数据包的内容。
HTTPS 就安全了?HTTPS 会被抓包吗?
星之宇的博客
07-30 1651
随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但对于以下灵魂三拷问可能就答不上了: 为什么用了 HTTPS 就是安全的? HTTPS 的底层原理如何实现? 用了 HTTPS 就一定安全吗? 本文将层层深入,从原理上把 HTTPS 的安全性讲透。 HTTPS 的实现原理 大家可能都听说过 HTTPS 协议之所以是安全的是因为 HTTPS 协议会对传
推荐|简单好用的https证书监控工具
zzpeter的博客
11-11 688
Spug证书监控是专门用来监控HTTPS证书的SAAS监控工具,免安装,一次添加永久监控,到期前可以设置多个渠道多个时间段反复提醒
nagios插件之登录https页面监控
C语言
10-28 1468
vi volkswagen_https_host_2.c #include #include #include #include #define OK 0 #define WARNING 1 #define CRITICAL 2 #define UNKNOWN 3 #define LEN 1000 #define LEN_SHORT 512 int exitstat
nagios监控https页面
技术转管理历程
03-09 907
一个url 如下: https://172.27.203.XXX:20001/ibm/console/logon.jsp 如何用nagios监控呢?用python写的脚本需要大量类库,迁移很不方便,因此决定利用nagios插件check_http实现。 最后命令如下: ./check_http -S -H 172.27.203.XXX -p 20001 -u /ibm/console/
Fiddler 一个好用的监控http和https的工具
chunmiao3032的专栏
01-05 3184
可以针对特定的http请求,分析请求数据、设置断点、修改请求的数据,Fiddler 支持多语言开发,可以作为一个开发者的调试工具。当客户端(如浏览器)向服务器发送 HTTP 请求时,请求数据会通过 Fiddler 进行转发,Fiddler 会记录下请求的详细信息,包括请求的 URL、请求头、请求参数等,然后将请求转发到服务器。通过这种方式,Fiddler 可以在不直接获取到 HTTPS 数据的情况下,捕获和分析网络通信的内容,包括请求的 URL、请求头、响应头等信息。
SpringBoo-Admin监控Https服务
HACKERRONGGE的博客
01-20 2247
一、环境说明: 采用SpringCloud为微服务架构,Nacos为注册中心,Springboot-Admin通过从Nacos获取到微服务的Ip地址。然后SpringBoot-Admin获得ip地址后通过http来请求微服务的接口信息。 为了安全,公司微服务的请求方式全部改为了Http2,所以不得不需要https请求,而Springboot-Admin官方也每没有响应的配置说明,为了解决这个问题...
[https]公司导入自签名证书实现https监控
weixin_30617561的博客
01-14 150
https://www.v2ex.com/t/143012 转载于:https://www.cnblogs.com/alfredsun/p/10265587.html
监控域名HTTPS证书过期时间
qq_24794401的博客
09-30 1264
前言随着各大浏览器对 http 请求标识为 不安全(见下图),现如今强烈推荐网站使用 https 请求。对于运维同学来说,SSL 证书有效期如何监控,不可能去记住每个域名证书到期日期,今...
使用脚本监控更新k8s的pod的状态
最新发布
09-29
<think>嗯,用户想要知道如何使用脚本监控并更新Kubernetes中的Pod状态。这是一个典型的运维自动化需求,用户可能是DevOps工程师或者系统管理员,正在寻找高效管理集群的方法。 从引用内容来看,用户已经对Pod创建流程和状态机制有一定了解,特别是[^2]提到Restarting状态的详细说明,说明用户可能遇到过Pod异常重启的问题。用户真正需要的不仅是监控脚本,更是一套完整的异常处理和自动恢复方案。 让我拆解几个关键点: 第一,监控部分可以使用kubectl命令配合watch机制,或者直接调用Kubernetes API。考虑到脚本的轻量化,kubectl更合适。这里要注意jsonpath表达式的准确性,比如获取phase字段时容易遗漏metadata字段。 第二,状态判断逻辑需要细化。用户提供的引用[^2]提到Restarting状态,但实际API返回的是ContainerStatuses里的restartCount。这里需要提醒用户注意官方字段名差异,避免踩坑。 第三,更新操作要谨慎。直接删除重启是最简单的,但如果是有状态的Pod可能需要特殊处理。用户没说明应用类型,所以示例里需要添加警告说明。另外替代方案如增加资源限制也值得提及。 突然想到个隐患:频繁重启可能导致集群雪崩。应该在脚本里加入重启次数阈值判断,比如24小时内超过10次就报警而不是继续重启。这个细节对生产环境很重要,要补充在注意事项里。 最后考虑扩展性。可以提一句这种模式同样适用于其他资源类型,比如监控Deployment的可用副本数。用户现在关注Pod,但后续可能会需要类似方案。 示例脚本考虑用Bash+Jq组合而不是Python,虽然Python的client库更强大,但Bash在运维场景更通用。jsonpath查询要测试边界情况,比如多个容器时的处理。 </think>以下是一个基于Shell脚本的Kubernetes Pod状态监控与自动更新方案,结合引用内容和最佳实践实现: --- ### **监控与更新Pod状态的核心逻辑** 1. **实时监控**:定期检查Pod状态(含`Restarting`状态) 2. **异常判定**:识别需干预的状态(如`CrashLoopBackOff`) 3. **自动处理**:触发重建或更新操作 4. **日志记录**:记录操作审计轨迹 ```bash #!/bin/bash NAMESPACE="your-namespace" POD_NAME_PATTERN="your-pod-prefix*" CHECK_INTERVAL=60 # 检查间隔(秒) while true; do # 获取Pod状态 (JSON格式) POD_STATUS=$(kubectl get pods -n $NAMESPACE -o json \ | jq -r --arg pattern "$POD_NAME_PATTERN" '.items[] | select(.metadata.name | contains($pattern)) | {name: .metadata.name, status: .status.phase, restarts: (.status.containerStatuses[0].restartCount // 0)}') echo "$POD_STATUS" | while read -r pod; do pod_name=$(jq -r '.name' <<< "$pod") status=$(jq -r '.status' <<< "$pod") restarts=$(jq -r '.restarts' <<< "$pod") # 状态判断逻辑 if [[ "$status" == "Failed" ]] || [[ "$status" == "Unknown" ]] || [[ $restarts -gt 5 ]]; then # 重启超过阈值 echo "[$(date)] Abnormal pod: $pod_name | Status: $status | Restarts: $restarts" # 自动修复操作 kubectl delete pod $pod_name -n $NAMESPACE echo "[$(date)] Deleted and recreating pod: $pod_name" fi done sleep $CHECK_INTERVAL done ``` --- ### **关键组件解析** 1. **状态监控机制** - 使用`kubectl get pods -o json`获取精确状态数据(引用[^3][^4]) - 通过`jq`解析JSON中的关键字段: - `status.phase`:Pod生命周期状态(如`Running`/`Failed`) - `status.containerStatuses.restartCount`:容器重启次数(引用[^2]) 2. **异常判定标准** | 状态类型 | 触发条件 | 说明 | |------------------|------------------------------|--------------------------| | 硬故障状态 | `Failed` / `Unknown` | 节点失联或启动失败 | | 软故障状态 | `restartCount > 5` | 容器持续崩溃(引用[^2])| | 资源不足 | `OutOfcpu`/`OutOfmemory` | 需调整资源限制 | 3. **自动更新策略** - **重建Pod**:`kubectl delete pod`触发重建(调度器重新分配,引用[^1]) - **滚动更新**(进阶方案): ```bash kubectl rollout restart deployment/your-deploy -n $NAMESPACE ``` --- ### **生产环境增强建议** 1. **状态检查精细化** 增加容器就绪检查: ```bash readiness=$(kubectl get pod $pod_name -n $NAMESPACE -o jsonpath='{.status.containerStatuses[0].ready}') ``` 2. **通知机制集成** 添加警报推送(示例使用Slack): ```bash curl -X POST -H 'Content-type: application/json' \ --data "{\"text\":\"[POD ALERT] $pod_name status: $status\"}" \ https://hooks.slack.com/services/your-webhook ``` 3. **安全控制** - 使用ServiceAccount绑定最小权限RBAC - 敏感操作前添加人工确认步骤: ```bash read -p "Confirm pod deletion (y/n)? " -n 1 -r if [[ $REPLY =~ ^[Yy]$ ]]; then kubectl delete pod $pod_name fi ``` --- ### **典型故障处理流程** ```mermaid graph TD A[监控发现Pod异常] --> B{状态分析} B -->|Failed/Unknown| C[强制删除重建] B -->|Restarting| D[检查日志定位根源] D -->|应用错误| E[滚动更新镜像] D -->|资源不足| F[调整CPU/Memory限制] C --> G[验证新Pod状态] E --> G F --> G ``` --- ### **注意事项** 1. **谨慎使用删除操作**:有状态服务需配合`StatefulSet`使用 2. **配置资源限额**:避免因OOM导致的循环重启(引用[^2]) 3. **日志持久化**:重建前保存日志 `kubectl logs $pod_name > debug.log` 4. **监控豁免名单**:排除主动维护的Pod > 完整方案可扩展为DaemonSet部署到集群节点,参考Kubernetes官方监控架构[^1][^3]。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值