做网站大概一个月多少工资互联网设计师工资一般多少

当前位置： 首页 > news >正文

做网站大概一个月多少工资,互联网设计师工资一般多少,网站后台功能开发,山东城建设计院网站现在HTTPS基本上已经是网站的标配了#xff0c;很少会遇到单纯使用HTTP的网站。但是十年前这还是另一番景象#xff0c;当时只有几家大型互联网公司的网站会使用HTTPS#xff0c;大部分使用的都还是简单的HTTP#xff0c;这一切是怎么发生的呢#xff1f; 为什么要把网站…现在HTTPS基本上已经是网站的标配了很少会遇到单纯使用HTTP的网站。但是十年前这还是另一番景象当时只有几家大型互联网公司的网站会使用HTTPS大部分使用的都还是简单的HTTP这一切是怎么发生的呢 为什么要把网站升级到HTTPS 若干年前公司开发了一款APP其中的某些页面是用H5实现的有一天用户向我们反馈页面中弹出了一个广告窗口这让当时身为开发小白的我感觉很懵逼后来经过经验丰富的老程序员点拨才知道这是被电信运营商劫持了运营商拦截了服务器对用户的HTTP响应并在中间夹带了一些私货。 一些网龄比较大的同学可能还有这样的记忆网站页面找不到的时候浏览器会跳转到一个运营商或者路由器厂商的网址导航页面家里的宽带到期的时候浏览器网页右下角会弹出续费通知。 这都是HTTP响应被劫持的表现HTTP本身没什么安全机制HTTP传输的数据很容易被窃取和篡改这也是我们将网站升级到HTTPS的根本动机。 使用HTTPS有很多好处这里稍微展开介绍一下 数据加密HTTPS通过SSL/TLS协议为数据传输过程提供了加密即便数据在传输过程中被截获没有密钥也无法解读数据内容。这就像是特工使用密文发送电报即使电报内容被别人截获没有密码表也无法解读其中的内容。身份验证使用HTTPS的网站会获得权威认证机构颁发的证书这就像是一个“身份证”让访问者能够确认自己访问的是官方合法的网站有效防止钓鱼网站的风险。数据完整性因为数据传输的中间人接触不到密钥不仅不能解密而且也无法对数据进行加密这就保证了数据在传输过程中不被篡改、伪造。增强用户信任由于浏览器会对HTTPS网站显示锁标志这有助于增强访问者对网站的信任。就像是看到家门口安装了高级安全锁人们会自然而然地觉得这家人对安全非常重视从而更加放心。SEO优势谷歌等搜索引擎已经明确表示HTTPS是搜索排名算法的一个信号。这意味着使用HTTPS的网站在搜索结果中可能会获得更高的排名具备更大的竞争优势。 HTTPS的发展趋势 大约从2010年开始大型网站和安全专家开始倡导使用HTTPS也就是在HTTP上加上SSL/TLS协议进行加密。 根据互联网安全研究机构的报告目前超过80%的网站已经使用HTTPS。特别是那些大型电商平台和社交媒体网站几乎100%都已经完成了从HTTP到HTTPS的升级。 不仅是企业和网站管理员在推动HTTPS的普及各国政府和互联网安全组织也在积极推荐使用HTTPS。例如各种浏览器都会对那些仍然使用HTTP的网站标记为“不安全”。 随着人们对网络安全意识的增强大家也更加偏好那些使用HTTPS的网站。就像是在选择酒店的时候你可能会更倾向于选择那些看起来保卫严密的酒店。 HTTPS的技术原理 加密技术 HTTPS 安全通信的核心在于加密技术。这里面主要涉及两种加密方式对称加密和非对称加密。 对称加密就像是你和朋友使用同一把钥匙来锁和解一个箱子。信息的发送方和接收方使用同一个密钥进行数据的加密和解密。这种方式的优点是加解密速度快通信成本低但缺点在于如果密钥被中间截获或者泄漏通信就不安全了。非对称加密就像是用一个钥匙锁箱子公钥另一个钥匙来开箱子私钥。发送方使用接收方的公钥进行加密而只有接收方的私钥能解开。这样即便公钥被公开没有私钥也无法解密信息从而保证了传输数据的安全。 在实际应用中HTTPS 通常采用混合加密机制。在连接建立初期使用非对称加密交换对称加密的密钥一旦密钥交换完成之后的通信就切换到效率更高的对称加密。就像是先通过一个安全的箱子非对称加密把家门钥匙对称加密的密钥安全送到朋友手中之后就可以放心地使用这把钥匙进行通信了。 SSL/TLS协议 HTTPS 实际上是 HTTP 协议跑在 TLS 协议之上TLS的全称是 Transport Layer Security从字面上理解就是传输层安全保护数据传输的安全。有时候我们还会看到 SSL 这个词SSL 其实是 TLS 的前身它的全称是 Secure Sockets LayerSocket 就是是TCP/UDP编程中经常接触的套接字概念也是传输层的一个组件。 可以理解为SSL/TLS就像是一个提供安全保护的信封确保了信件数据在寄送过程中的安全。 让我们来详细探查下 HTTPS 的工作流程 1、开始握手当浏览器尝试与服务器建立HTTPS连接时它首先会发送一个“Hello”消息给服务器这个消息里包含了浏览器支持的加密方法包括对称加密和非对称加密等等信息。 2、服务器回应服务器收到客户端的“Hello”之后会选择一组客户端和服务器都支持的加密方法然后用自己的私钥对信息进行签名把这个签名连同服务器的SSL证书一起发送到客户端SSL证书里包含了服务器的公钥。 3、验证证书客户端收到服务器发过来的证书后会首先验证证书的合法性确保证书是可信任的CA颁发且未被篡改。这个验证会使用浏览器或者操作系统内置的安全根证书验证从服务器证书到根证书的所有认证链上的签名都是可信任的。 4、生成临时密钥一旦证书验证通过客户端就会生成一串随机密钥也就是对称密钥。然后客户端会用服务器的公钥对这串随机密钥进行加密再发送给服务器。 5、服务器解密获取对称密钥服务器收到加密后的数据会用自己的私钥对其解密获取到其中的对称密钥。到这里客户端和服务器双方就都拥有了这个对称密钥后续的通信就可以使用这个对称密钥进行加密了。 这里我们介绍的密钥交换方式是RSA其实TLS支持多种密钥交换机制除了RSA还包括Diffie-Hellman密钥交换简称DH、椭圆曲线Diffie-Hellman简称ECDH密钥交换等或者RSA和DH的结合。DH密钥交换不需要在通信双方之间直接发送对称密钥同时即使证书的私钥被泄露之前的会话密钥也不能被推导出来之前的通信也就无法被解密这样更加安全。有兴趣的同学可以去搜索了解一下。 证书和认证机构CA 为了保证网站的身份真实性HTTPS还涉及到了证书SSL证书的使用。这个证书由认证机构CA颁发包含了网站公钥、网站身份信息等。浏览器或操作系统内置了这些认证机构的信任列表能自动验证证书的真实性。 证书认证机构会在颁发证书前确认网站的身份这有点像买火车票之前需要先通过身份认证来确认你的身份。根据验证的深度和范围证书可以分为以下几种类型

1. 域名验证DV证书 这种证书只验证网站拥有者对域名的控制权。CA会通过Url文件验证或DNS记录验证等方式来确认申请者是否控制该域名。DV证书的发放速度快成本低但它只证明域名的控制权不会验证组织的真实身份。 2. 组织验证OV证书 OV证书不仅验证域名的控制权还要验证申请证书的组织是真实、合法且正式注册的。这就像提交某些申请时除了要上传身份证还要上传企业的营业执照确认你是某个公司的员工。OV证书提供了更高级别的信任适用于商业网站。 3. 扩展验证EV证书 EV证书提供了最高级别的验证。在这个过程中CA会进行更为严格和全面的审查包括确认申请组织的法律、运营和物理存在。这就像不仅检查身份证和营业执照还要确认你的实际居住地址、实际办公地点等信息。EV证书为用户提供了最高水平的信任但它的发放流程最为复杂成本也最高。 配置HTTPS的步骤
2. 获取SSL/TLS证书 可以从阿里云、腾讯云等这些大的云计算平台申请你需要的证书也可以从专门的证书颁发机构获取。 证书可以只针对单个域名比如www.juejin.cn那只能 www.juejin.cn 使用这个证书www2.juejin.cn 不能使用这个证书也可以配置为泛域名比如 *.juejin.cn那么 www.juejin.cn 和 www2.juejin.cn 都可以使用这个证书。 申请证书时会验证你的身份比如对于DV证书需要你在DNS中配置一个特殊TXT解析、或者在网站中放置一个特别的验证文件证书颁发机构能够通过网络进行验证。 验证通过后证书颁发结构会给你发放证书包括公钥和私钥。 证书有免费版和收费版。免费版一般只针对单个域名仅颁发DV证书证书的有效期一般是3-12个月。普通用户为了节约成本可以使用免费版本通过一些程序脚本实现证书的到期自动更新。
3. 配置Web服务器 拿到证书后需要在你的Web服务器上配置它具体步骤取决于你使用的服务器软件如Apache、Nginx等。 注意HTTPS默认的监听端口是443使用这个端口用户访问时可以不输入端口号。
4. 强制使用HTTPS 为了确保所有数据都是安全传输的我们可以使用重定向让用户始终访问HTTPS地址。 在Web服务器上设置将所有HTTP请求重定向到HTTPS用户使用HTTP时都会自动跳转到HTTPS比如访问 http://juejin.cn 会自动跳转到 https://juejin.cn。
5. 维护和更新 证书都是有保质期的需要在证书到期前进行续期。有时候我们还需要根据安全威胁报告及时更新SSL/TLS的加密设置确保它们符合最新的安全标准。 HTTPS的安全问题 HTTPS虽然大大提高了网站的安全性但它也不是万无一失的。 1、弱加密算法 如果使用过时或不安全的加密算法加密的数据可能会被破解。 在Web服务器配置中禁用已知不安全的SSL/TLS版本如TLS 1.0和1.1和弱加密套件选择使用强加密算法如AES_GCM或ChaCha20。 2、钓鱼网站 即使是使用HTTPS的网站也可能是钓鱼网站比如DV证书只验证网站的域名归属不确认网站具体是干什么的。这就像强盗穿上快递员的制服你很难一眼识破。 对于关键的服务比如在线购物、上传个人信息用户需要提高警惕检查网站的URL确保是访问的正确网站。 我们也可以使用浏览器提供的安全插件或服务来识别和阻止访问已知的恶意网站。 3、中间人攻击 即使使用了HTTPS如果攻击者能够在通信双方之间插入自己就能够监听、修改传输的数据。如果你使用过Fiddler 这种抓包程序做过前端通信调试就很容易理解这个问题。这就像快递途中有个假冒的收发室所有包裹都得先经过它。 要防范这个问题比较困难用户尽量不要在公共的WiFi网络进行敏感操作不随便下载安装可疑的文件或程序网站运营者要确保网站的TLS配置是安全的使用强加密算法和协议。 4、审核不严的证书 证书颁发机构审核不严或者胡乱颁发证书比如别有用心的人通过特殊手段就能申请到google.com的证书。而且历史上也确实发生过。 2011年荷兰证书颁发机构CADigiNotar因被黑客入侵并滥发了大量伪造的SSL/TLS证书包括对Google域名的证书最终导致DigiNotar破产。 2016年中国CA机构WoSign及旗下子公司StartCom被曝出多种违规操作导致主流浏览器厂商逐步撤销对这两家CA的信任。 解决这个问题主要依赖证书颁发机构和监管机构的安全机制浏览器和操作系统厂商也可以在问题发生后通过紧急更新来避免风险的进一步扩大使用证书的用户如果有能力可以通过监控CA机构发布的证书颁发日志来探查是否有未经授权的证书颁发给你的域名。 以上就是本文的主要内容希望此文能让你对Https有了一个系统全面的了解更好的保护Http通信安全。 关注萤火架构加速技术提升