Http Network(下図)第7章


第7章WebセキュリティのHTTPS

7.1 HTTP의 약점
7.1.1 평문이기 때문에 도청 가능
7.1.2 통신 상대를 확인하지 않기 때문에 위장 가능
7.1.3 완전성을 증명할 수 없기 때문에 변조 가능
7.2 HTTP + 암호화 + 인증 + 완전성 보호 = HTTPS
7.2.1 HTTP에 암호화와 인증과 완전성 보호를 더한 HTTPS
7.2.2 HTTPS는 SSL의 껍질을 덮어쓴 HTTP
7.2.3 상호간에 키를 교환하는 공개키 암호화 방식
7.2.4 공개키가 정확한지 아닌지를 증명하는 증명서
7.2.5 안전한 통신을 하는 HTTPS의 구조

1)HTTPの弱点


1.1)コメントなので盗聴可能

  • TCP/IPは盗聴可能ネットワーク
  • である.
  • ケーブルは、お金を払って自分のケーブルを敷設しない限り、盗聴することができます(物理的にローカルエリアネットワークを通過する電気信号を確認すれば...)
  • 回線を介して伝送される電気信号は、ここを参照してください.
  • 暗号化されていない通信はバイト単位で分析され、暗号化された通信はいくつかの無意味な値を生成するが、いずれにしても可視(鍵付き復号可能)
  • である.
  • のようなセグメント通信盗聴は容易すぎる.
  • ネットワークパケットを収集して盗聴し、Capture Snifferというツール
  • を使用する.
  • パケットは、wireSharkという名前のツール
  • を使用することをキャプチャする.
  • の安全を確保するために、
  • 通信暗号化プロトコル(SSH、SSL、TLS)
  • を用いる.
  • コンテンツ暗号化
  • 1.2)通信相手を検査しないため、偽装することができる

  • 誰でもお願いできます.
  • NAVERに登録されていますが、NAVERのサーバではなく、他のハッカーのサーバリクエストでもわかりません
  • ですが、これはブラウザが基本的なセキュリティチェック(証明書...)を行うためです.ブラウザに表示される画面は異なる場合があります.
  • 他のハッカーのサーバを偽装サーバと呼ぶ.
  • 完全性を証明することはできません
  • 受信コンテンツが異なる場合があります
  • の改ざんを防止するためのハッシュ値:MD-5、SHA-1
  • 1.3)完全性が証明できないため改ざん可能


    2)HTTP+暗号化+認証+完全性保護=HTTPS


    2.1)HTTPに暗号化、認証及び完全性保護を加えたHTTPS

  • HTTPSは既存のHTTPに対してセキュリティを増加する、
  • .

    2.2)HTTPSはSSLケースを覆うHTTPである

  • ここでいうセキュリティはSSL、TLSです
  • 公開鍵と非公開鍵の2つの方法があります.勉強しましょう.
  • 2.3)公開鍵暗号化の相互交換方式


    2.4)公開鍵が正しいことを証明する証憑


    2.5)HTTPSの安全な通信構造

  • HTTPS構造が複雑で汚い
  • SSLが遅い