? ? ?2016年即將逝去绽诚,在新的一年到來之際,在網(wǎng)絡(luò)領(lǐng)域有那么幾件頗有影響的事要發(fā)生:
? ? ? 1合砂、2017年1月1日亡驰,蘋果將對Apple Store里所有應(yīng)用啟用一項名為ATS的重要安全功能(App Transport Security,應(yīng)用程序安全傳輸栽连,簡稱 ATS)险领,在啟用 ATS 之后,它會強制開發(fā)者的應(yīng)用通過 HTTPS(而不是 HTTP)連接網(wǎng)絡(luò)服務(wù)秒紧。這是今年蘋果全球開發(fā)者大會上發(fā)布的一項“新規(guī)”绢陌。這意味著如果你開發(fā)的蘋果App沒有采用HTTPS,將會被"下課"熔恢。
? ? ? ?2脐湾、Google宣布,計劃從2017年1月1日起叙淌,Chrome 56 將給不安全網(wǎng)站進行標(biāo)記秤掌,比如含密碼或信用卡信息傳輸?shù)腍TTP頁面。Chrome會把不使用 HTTPS 協(xié)議的網(wǎng)站和頁面標(biāo)記為不安全(Not secure)鹰霍,在其后的版本中闻鉴,Chrome 瀏覽器會逐漸增加安全風(fēng)險提示的醒目程度。如果網(wǎng)站堅持不使用 HTTPS茂洒,或者 HTTPS 協(xié)議損壞孟岛,那么地址欄就會出現(xiàn)一個帶有嘆號的紅色三角標(biāo)識。想想看获黔,如果你的網(wǎng)站有那么醒目的一個不安全標(biāo)示蚀苛,那會多囧啊玷氏?
? ? ? ?如果不熟悉HTTPS怎么辦堵未?網(wǎng)上資料良莠不齊,英文資料又看起來費勁盏触。不用慌渗蟹,給大家推薦一本書块饺,那就是圖靈社區(qū)出的《HTTPS權(quán)威指南:在服務(wù)器和Web應(yīng)用上部署SSL/TLS和PKI》。這本書是國內(nèi)引進出版的第一本關(guān)于HTTPS的專著雌芽,其原著《Bulletproof SSL and TLS: Understanding and Deploying SSL/TLS and PKI to Secure Servers and Web Applications》在亞馬遜上的得分是滿分(有截圖為證J诩琛!J缆洹)
所以以圖靈的翻譯質(zhì)量加上亞馬遜的評分保證淮腾,你完全可以信賴此書(好像打廣告啊屉佳!^_^)
? ? ? ?打完廣告谷朝,言歸正傳,講講讀這本書的心得(或者說該如何讀這本書):如果你是被蘋果的ATS逼著要上馬HTTPS的武花,那你其實大可不必從頭讀起圆凰,直接從第11章往下掃,照著第11章(OpenSSL)的內(nèi)容走一遍体箕,你就已經(jīng)可以生成自己的私有自簽名證書了专钉,這意味這你已經(jīng)可以在開發(fā)環(huán)境里玩一玩加密傳輸數(shù)據(jù)了(參考第12章:使用OpenSSL進行測試)。但是累铅,蘋果是不會認(rèn)你這個自簽名證書的跃须,所以在生產(chǎn)環(huán)境里你還得搞一個正兒八經(jīng)的機構(gòu)簽發(fā)的證書(參考第3章:公鑰基礎(chǔ)設(shè)施),有花錢和不花錢的争群,花錢的就不說了(一般來說回怜,價格越貴越¥¥牛掰¥¥)大年,不花錢的可以上[Let's Encrypt]换薄、[FreeSSL]、[StartSSL]上去申請翔试,過程也還算比較簡單的轻要,照著這些網(wǎng)站提供的教程來一遍(和第11章的過程是比較像的)就差不多了。拿到證書后垦缅,根據(jù)你自己網(wǎng)站的技術(shù)架構(gòu)進行配置即可冲泥,書中從13~16章依次介紹了Apache、Tomcat壁涎、IIS凡恍、Nginx的配置方式,我想這對絕大多數(shù)人而言已經(jīng)足夠用了怔球。
? ? ? ?等你把ATS的事情搞定嚼酝,心里一定松了一口氣,App不會被下架了竟坛。而當(dāng)你的Chrome瀏覽器網(wǎng)址前方有一個綠色的可信標(biāo)志時闽巩,就說明你的站點HTTPS加密已經(jīng)初步告成钧舌,至少從表面上看起來算是一個合格的加密網(wǎng)站了。但是光有個HTTPS標(biāo)示就真的表示你的網(wǎng)站安全么涎跨?那可未必洼冻,所以要有認(rèn)真的精神的話,就得回過頭來搞清楚什么是HTTPS了(這貨比HTTP多了一個S隅很,有那么復(fù)雜嗎撞牢?),第一章叔营、第二章回顧了一下網(wǎng)絡(luò)的七層協(xié)議和密碼學(xué)基礎(chǔ)知識普泡,已經(jīng)熟悉的人可以略過,不熟悉的人可能要補補課审编,但是補課的話第一章的知識可能又不夠撼班,這時候大圖靈的書又派上用場了,《圖解HTTP》通俗易懂垒酬、《HTTP權(quán)威指南》內(nèi)容詳盡砰嘁,讀完這兩本,足夠你搞清楚什么是HTTP了勘究。密碼學(xué)的知識比較高深矮湘,不要怕,大圖靈也有一本《圖解密碼技術(shù)》口糕,此書雖然不足以讓你成為密碼學(xué)高手缅阳,也可以讓你入個門了,不要自卑景描,這個世界上的密碼學(xué)高手并不多十办,絕大部分人都只是理論的使用者而已。
? ? ? ?第4章很有趣超棺,介紹的東西簡單些說就是各種bug以及bug帶來的各種災(zāi)難向族,對這些歷史感興趣的可以進一步參考《網(wǎng)絡(luò)戰(zhàn):信息空間攻防歷史、案例與未來》和《網(wǎng)絡(luò)安全:輸不起的互聯(lián)網(wǎng)戰(zhàn)爭》棠绘〖啵總的來說就是告訴你:不加密就是災(zāi)難、加密也未必可靠(崩潰Q醪浴R勾!!)让虐。我們通常會說加密被繞過紊撕,而不是被攻擊。這句話意味著使用的基元都很堅實澄干,但軟件體系不牢固逛揩。許多失敗的加密案例都可以參照下面的簡單規(guī)則避免:(1) 使用完善的協(xié)議柠傍,不要自己設(shè)計;(2) 使用高級庫辩稽,避免直接操作加密惧笛;(3) 使用完備的基元,輔以足夠強壯的密鑰長度逞泄。 第5章講的是瀏覽器的安全問題患整,有心要搞事的或者要防范別人搞事的請參考大圖靈新出的《黑客攻防技術(shù)寶典:瀏覽器實戰(zhàn)篇》。第6喷众、7章介紹了為什么bug會層出不窮(因為軟件是人編的)各谚,有心者請進一步參考搞事指南《精通Metasploit滲透測試》、以及圖靈黑客系列叢書:《黑客攻防技術(shù)寶典:Web實戰(zhàn)篇》到千、《黑客攻防技術(shù)寶典:iOS實戰(zhàn)篇》昌渤、《黑客攻防技術(shù)寶典:系統(tǒng)實戰(zhàn)篇》、《黑客達人迷》憔四。更進一步膀息,如果程序沒有bug(或者你沒有能力發(fā)現(xiàn)bug),也還有別的辦法了赵,這方面圖靈也提供了一個系列——《社會工程:安全體系中的人性漏洞》潜支、《社會工程2:解讀肢體語言》、《社會工程3:防范釣魚欺詐》柿汛∪吣穑總而言之:你要是搞不定軟件,那么你就去搞定人B缍稀(借用《三體:死神永生》里的臺詞:黑,真XX的黑!)當(dāng)然裁替,反過來也是一樣的:你不僅要防止你的程序出bug,也要防范你的人出bug妓羊。
? ? ? ?第8胯究、9、10章涉及到高級HTTPS部署的細節(jié)躁绸,實際上HTTPS并不是簡單到拿到一個證書,往網(wǎng)站上一放就完事了的臣嚣,真正在實操層面還有很多方方面面的細節(jié)決定著你的網(wǎng)站的安全性净刮,比如是否對網(wǎng)站進行了全站HTTPS加密、cookie的內(nèi)容是否安全硅则、遇到DDOS攻擊該怎么辦等等方面淹父。要想光靠這一本書搞定網(wǎng)站的安全肯定是不現(xiàn)實的,但是怎虫,我們首先要了解哪些地方會有什么樣的危險暑认,遇到特定的問題要怎么做困介。
? ? ? 總之,這本《HTTPS權(quán)威指南:在服務(wù)器和Web應(yīng)用上部署SSL/TLS和PKI》無論是對于要急于上線HTTPS的開發(fā)者蘸际、還是要在安全領(lǐng)域有所作為的黑白灰客都是一本必備之書座哩,值得一買!
------------------------------------------------------------------------
