对自己无知这件事本身的无知真的挺可怕 认知偏差现象一直存在于我们每个人身上,谁也避免不掉,不过是有的人了解这件事儿,有的人不怎么知道而已,这就产生了「无知而不自知」的认知偏差.当然,这时候你自己忽悠自己倒没什么,顶多让自己每天感觉自己挺厉害的,沉浸于虚幻的优越感中,以为自己比大多数人都优秀,这倒不是一件什么坏事情,但是,如果你和别人沟通交流中展现出来,那挺可怕的,况且有时候你自己并不知道,达克效应(Dunning-Kruger Effect)描述的就是这种现象. 避免这种现象在自己身上的存在,没…

“全站 HTTPs”俨然成了目前的热门话题,很多网站都在摩拳擦掌要实行全站 HTTPs.凑巧,我们(沪江)也在推行这个计划. 一开始大家想得都很简单,把证书购买了.配好了,相应的路径改一改,就没有问题.事实也确实如此,单个独立站点的 HTTPs 改造是很容易的.一旦走向“全站”,才发现事情远远比想象的要复杂,全站意味着所有资源面对所有客户端,涉及的因素异常多,网络上又没有太多资料,只能自己摸索.下面我简单讲讲遇到的几个问题,提供一些经验给大家参考. HSTS 如果一个网站既提供了 HTTP 服务…

关于全站https必要性http流量劫持.dns劫持等相关技术 微信已经要求微信支付,申请退款功能必须12月7号之前必须使用https证书了(其他目前为建议使用https),IOS也是2017年1月1号要求所有请求使用https了,国内有些https证书要1000元一年,阿里云 云盾证书 有免费型DV SSL,国外有免费的.网站迟早要全面https化的(虽然有一点技术难度和访问比较慢但趋势已经非常明显了),国内运营商域名劫持植入广告太严重了,http请求用各种技术手段都很难防住,所以不是微信.i…

百度从 14 年开始对外开放了 https 的访问,并于 3 月初正式对全网用户进行了 https 跳转. 你也许会问,切换就切换呗,和我有啥关系?我平常用百度还不是照常顺顺当当的,没感觉到什么切换. 话说,平常我们呼吸空气也顺顺溜溜的,没有什么感觉,但要是没有了空气,那就没法愉快的生活了.https 对于互联网安全的重要性,正如空气对于我们人类的重要性一样.百度全站切换到 https 之后,我们才可以愉快的搜索,愉快的上网. https 究竟是如何实现让我们更加安全呢,让百度技术宅来个深度揭秘…

!版权声明:本文为腾讯Bugly原创文章,转载请注明出处腾讯Bugly特约作者:刘强 最近大家在使用百度.谷歌或淘宝的时候,是不是注意浏览器左上角已经全部出现了一把绿色锁,这把锁表明该网站已经使用了 HTTPS 进行保护.仔细观察,会发现这些网站已经全站使用 HTTPS.同时,iOS 9 系统默认把所有的 http 请求都改为 HTTPS 请求.随着互联网的发展,现代互联网正在逐渐进入全站 HTTPS 时代. 因此有开发同学在给腾讯Bugly的邮件中问:全站 HTTPS 能够带来怎样的优势?HT…

转载:本文为腾讯Bugly原创文章. 最近大家在使用百度.谷歌或淘宝的时候,是不是注意浏览器左上角已经全部出现了一把绿色锁,这把锁表明该网站已经使用了 HTTPS 进行保护.仔细观察,会发现这些网站已经全站使用 HTTPS.同时,iOS 9 系统默认把所有的 http 请求都改为 HTTPS 请求.随着互联网的发展,现代互联网正在逐渐进入全站 HTTPS 时代. 因此有开发同学在给腾讯Bugly的邮件中问:全站 HTTPS 能够带来怎样的优势?HTTPS 的原理又是什么?同时,阻碍 HTTPS…

原文地址:http://blog.csdn.net/luocn99/article/details/39777707 前言 我目前正在从事HTTPS方面的性能优化工作.在HTTPS项目的开展过程中明显感觉到目前国内互联网对HTTPS并不是很重视,其实也就是对用户隐私和网络安全不重视.本文从保护用户隐私的角度出发,简单描述现在存在的用户隐私泄露和流量劫持现象,然后进一步说明为什么HTTPS能够保护用户安全以及HTTPS使用过程中需要注意的地方.        国外很多网站包括google,face…

http://geek.csdn.net/news/detail/48765 作者:腾讯TEG架构平台部静态加速组高级工程师 刘强 最近大家在使用百度.谷歌或淘宝的时候,是不是注意浏览器左上角已经全部出现了一把绿色锁,这把锁表明该网站已经使用了 HTTPS 进行保护.仔细观察,会发现这些网站已经全站使用 HTTPS.同时,iOS 9 系统默认把所有的 http 请求都改为 HTTPS 请求.随着互联网的发展,现代互联网正在逐渐进入全站 HTTPS 时代. 因此有开发同学会问: 全站 HTTPS…

最近大家在使用百度.谷歌或淘宝的时候,是不是注意浏览器左上角已经全部出现了一把绿色锁,这把锁表明该网站已经使用了 HTTPS 进行保护.仔细观察,会发现这些网站已经全站使用 HTTPS.同时,iOS 9 系统默认把所有的 http 请求都改为 HTTPS 请求.随着互联网的发展,现代互联网正在逐渐进入全站 HTTPS 时代. 因此有开发同学在给腾讯Bugly的邮件中问:全站 HTTPS 能够带来怎样的优势?HTTPS 的原理又是什么?同时,阻碍 HTTPS 普及的困难是什么?为了解答大家的困惑,…

版权声明:本文由张戈原创文章,转载请注明出处: 文章原文链接:https://www.qcloud.com/community/article/78 来源:腾云阁 https://www.qcloud.com/community 自从百度推荐全站 https 以来,一直就想让博客跟上这个节奏.可惜,国内所有的免费CDN都不支持https.所以要开启https势必要暴露网站真实ip,按照博客现在被攻击的节奏,估计一暴露就没有了安生的日子!偶尔的心血来潮,百度了一把支持https的CDN,打开了腾讯…

1 https://konklone.com/post/switch-to-https-now-for-free# https://theintercept.com/2014/11/20/non-profit-plans-encrypt-entire-web-free/ https://www.youtube.com/watch?time_continue=179&v=Gas_sSB-5SU Let's Encrypt Demo https://www.youtube.com/watch?v=0…

作者:HelloGitHub-追梦人物 文中涉及的示例代码,已同步更新到 HelloGitHub-Team 仓库 HTTP 报文以明文形式传输,如果你的网站只支持 HTTP 协议,那么就有可能遭受到安全攻击.你可以使用 Google 浏览器打开一个 HTTP 协议网站,会发现 Chrome 在网址的左边将这个网站标记为不安全. HTTPS 为 HTTP 报文提供了一个加密传输的通道,这样攻击者就无法窃听或者篡改传输的内容.要启用 HTTPS,必须向一个可信任机构申请一个 HTTPS 证书.专业的…

什么是全站HTTPS 全站HTTPS就是指整个网站的所有页面,所有资源全部使用HTTPS链接. 当用户的某个请求是明文的HTTP时,应该通过HTTP状态码301永久重定向到对应的HTTPS链接. 为了实现全站HTTPS,可以从下面两种方法中选取一种. 修改Global.asax.cs 在Global.asax.cs添加如下代码 #if !DEBUG GlobalFilters.Filters.Add(new RequireHttpsAttribute()); #endif 这是配置了ASP.NE…

随着国内网络环境的持续恶化,各种篡改和劫持层出不穷,越来越多的网站选择了全站 HTTPS.就在前几天,免费提供证书服务的 Let’s Encrypt 项目也正式开放测试,HTTPS 很快就会成为 WEB 必选项.HTTPS 通过 TLS 层和证书机制提供了内容加密.身份认证和数据完整性三大功能,可以有效防止数据被查看或篡改,以及防止中间人冒充.本文分享一些启用 HTTPS 过程中的经验,重点是如何与一些新出的安全规范配合使用.至于 HTTPS 的部署及优化,之前写过很多,本文不重复了. 理解 M…

报告显示,2015年互联网应急中心发现网络安全事件超过12万起,同比增长125.9%.消息一出震惊国人. 网络安全事件频发,全站HTTPS势在必行 正如习主席所讲:“互联网给人们的生产生活带来巨大变化,对很多领域的创新发展起到很强的带动作用”但是,因为网络具有开放性.隐蔽性.跨地域性等特性,存在的很多安全问题亟待解决. 值得注意的是,很多人认为所有的网络安全事件都是针对大平台.大企业的,作为个人“目标小”很难成为网络安全事件的受害者.然而,越来越多案例证 明这种想法大错特错.虽然不法分子多数在攻…

对应的网址:https://yq.aliyun.com/articles/65199 摘要: 目前主流大厂的网站和服务都已经实现了全站https, 例如: baidu, taobao, jd等. 关于这方面的好处和优势, 互联网上太多文章在进行介绍. 例如: [为什么我们应该尽快升级到 HTTPS?](https://imququ.com/post/moving-to-https-asa 一些重要的互联网资源参考: 强烈建议通读一下Jerry Qu的关于https, http/2, nginx的…

配置阿里云SLB全站HTTPS集群(以下内容仅为流程,信息可能有些对应不上) 1 登录阿里云购买两台实例 1.1 按量付费购买两台实例 1.2 配置网络可以不选择分配外网 1.3 自定义密码 1.4 购买完成 1.5 实例列表 2 购买SLB实例 2.1 按量付费购买SLB实例 2.2 SLB实例列表 3. 配置负载均衡实例端口转发 3.1 配置SLB服务器5555端口转发到服务器的22端口(另一台同样配置6666端口转发) 3.2 配置SLB服务器80端口负载均衡到两台服务器的80端口 4.…

Cloudflare 添加域名后,会自动生成通用证书,快速开启全站HTTPS,服务端不用做任何修改,还可以选择多种开启模式 一.注册Cloudflare账号 直接打开网站:https://www.cloudflare.com,就可以注册账号了,然后添加域名,选择Free套餐,没有任何费用 二.修改DNS 免费套餐只能通过DNS方式配置 Cloudflare,收费套餐或 Partner,可以通过CNAME配置 查看 Cloudflare 给自己分配的DNS  以aliyun为例,打开自己的域名商网…

写在前边 大家好,我是melo,一名大二上软件工程在读生,经历了一年的摸滚,现在已经在工作室里边准备开发后台项目啦. 不过这篇文章呢,还是想跟大家聊一聊数据结构与算法,学校也是大二上才开设了数据结构这门课,希望可以一边学习数据结构一边积累后台项目开发经验. 最近我们进入了排序算法专题,上节课聊到了"简单"插入排序,那在简单的基础上,我们可以怎么做进一步的优化呢,这篇来看看优化版--希尔排序! 知识点 概念 希尔排序(Shell Sort)是插入排序的一种,它是针对直接插入排序算法的改进…

第一个里程碑:创建https证书 [root@web01 backup]# openssl req -new -x509 -nodes -out server.crt -keyout server.key Generating a bit RSA private key ......................................................+++ ...................................+++ writing new priva…

1 背景 谷歌从 2017 年起,Chrome 浏览器将也会把采用 HTTP 协议的网站标记为「不安全」网站:苹果从 2017 年 iOS App 将强制使用 HTTPS:在国内热火朝天的小程序也要求必须使用 HTTPS 请求. 2 SSL证书类型 通常来说,SSL 证书分为三大类,他们的安全性是递增的,当然价格和安全系数成正比. DV (Domain Validation Certificate)   DV 证书适合个人网站使用,申请证书时,CA 只验证域名信息.几分钟之内就能签发. OV (…

1.HTTPS 基础 HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息.它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的 安全版,是使用 TLS/SSL 加密的 HTTP 协议. HTTP 协议采用明文传输信息,存在信息窃听.信息篡改和信息劫持的风险,而协议 TLS/SSL 具有身份验证.信息加密和完整性校验的功能,可以避免此类问题. TLS/SSL…

上海交通大学密码与计算机安全实验室(LoCCS)软件安全小组(GoSSIP)版权所有,转载请与作者取得联系! 著名的计算机学术安全会议CCS在2017年录用了一篇名为Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2的学术论文,看起来,这和其他的上百篇同样将要在11月1日在美国达拉斯喜来登酒店会议中心一起登场报告的论文没有太大的差别,然而就在4天前,这篇论文的作者借助网站KRACK Attacks: Breaking WPA2点燃了整个…

本地验证node服务没问题后,上传到阿里云服务器上,发现无法访问.一开始以为是SSL证书有问题,去腾讯云SSL证书重新下载,还是不行.然后改node应用文件代码app.js,猜测是crt证书应该改成pem证书.花了很长时间研究怎么把crt证书改成pem的,没有研究出来.实在没招了,去腾讯云域名解析猜测着改,唉,还是不行.我快绝望了. 忽然灵光一现,想起了阿里云的安全组.之前访问阿里云的22端口无法访问,发现是阿里云安全组把22端口封掉了,需要自己开启,我去安全组看了下,果然没有开启443端口.开…

随着网络技术手段不断地更新迭代,互联网安全对于企业和个人的重要性都越来越高.因此越来越多的服务商都开始偏向为用户提供更安全的在线内容访问. 中间人攻击 为了保障网站内容安全,诞生了不少加密方式.目前应用最为广泛的加密方式是 TLS(安全传输层协议),它脱胎自广为人知的 SSL(安全套接字协议),并和 SSL 一起组成了 SSL/TLS 加密,可以让 HTTP 变身为 HTTPS,为用户和网站提供安全的数据传输. 正常来讲,使用 HTTPS 和可靠的 SSL/TLS 证书访问网站时,加密的传输是安…

摘要: 当我们在调用Java对象的wait()方法或者线程的sleep()方法时,需要捕获并处理InterruptedException异常.如果我们对InterruptedException异常处理不当,则会发生我们意想不到的后果! 本文分享自华为云社区<[高并发]由InterruptedException异常引发的思考>,作者:冰 河. 前言 当我们在调用Java对象的wait()方法或者线程的sleep()方法时,需要捕获并处理Interrupted Exception异常.如果我们对I…

HTTP Basic Authentication很容易让攻击者监听并获取用户名密码.使用Base64来encode用户名密码也只是为将用户名和口令中的不兼容字符转换为均与HTTP协议兼容的字符集. 最好的方式是直接给服务端加SSL,请求由HTTP变成HTTPS请求.  SSL协议的优势在于它是 与 应用层 协议独立无关 的.高层的应用层协议(例如:HTTP . FTP . Telnet 等等)能透明的建立于SSL协议之上.SSL协议在应用层协议通信之前就已经完成加密算法.通信密钥的协商以及服务…

HTTPS 协议就是 HTTP+SSL/TLS,即在 HTTP 基础上加入 SSL /TLS 层,提供了内容加密.身份认证和数据完整性3大功能,目的就是为了加密数据,用于安全的数据传输. HTTPS 通过3大功能增加了数据传输安全,但同时也给Web性能优化带来了新的挑战. HTTPS降低用户访问速度(需多次握手) 网站改用 HTTPS 以后,由 HTTP 跳转到 HTTPS 的方式增加了用户访问耗时(多数网站采用 301.302 跳转) HTTPS 涉及到的安全算法会消耗 CPU 资源,需要增加…

server{ listen 80; listen 443 ssl; ssl_certificate /usr/local/nginx/ssl/www.demo.com/www.demo.com.cn-ca-bundle.crt;#############ssl证书 ssl_certificate_key /usr/local/nginx/ssl/www.demo.comwww.demo.com.key;############ssl证书key autoindex on; #开启读取非nginx…

最近跟室友要一起搞一个个人公众号,提前想把生态想清楚了,所以准备部署一个网站 正好公司有Microsoft Visual Studio Professional订阅,每个月有50刀免费额度,对于Azure来说50刀也不算什么,不过支撑一个个人网站还是可以的,毕竟当前还没有多少用户,等用户数量庞大以后也就不愁server的问题了hiahia 好了跑偏了. 网站暂定先用WordPress,自己开发能力不强,加上现在WordPress的SEO好像不是很差,综合考虑就是这样. 谁知一看WP文档发现现在要…