Tag: https
HTTPS是在开放networking中防止会话劫持的唯一防御措施吗?
因此,借助Firesheep ,公共Wi-Fi中的每个人都拥有一键式会话劫持工具。 根据我的理解,它的工作方式是简单地捕获所有stream量并抓取会话cookie(因此不会窃取密码)。 根据我的理解,这也意味着HTTPS安全login不能单独解决这个问题,因为进一步的HTTP通信会再次以明文forms包含会话Cookie。 将会话绑定到一个特定的IP地址是没有用的,因为NAT,绑定到用户代理很容易被欺骗。 那么100%HTTPS在任何时候都是防止这种会话劫持的唯一方法吗? 难道人们只是嗅探包括握手在内的整个HTTPSstream量,还是这个东西安全? (我正在考虑重播攻击,但在这方面没有任何知识。) 当然,不使用公共/开放的Wi-Finetworking是更好的select,但是我仍然对网站开发者可以保护他/她的用户感兴趣。
Android SDK Manager将不会更新:拒绝连接到https://dl-ssl.google.com
这与其他一些已经报道的问题是一样的,例如, 无法获取urlhttps://dl-ssl.google.com/android/repository/addons_list-1.xml,原因是:连接到https://dl-ssl.google.com时被拒 Android SDK不更新包 Android SDK Manager在select存储库时出现“无法获取URL https://dl-ssl.google.com/android/repository/repository.xml”错误 但所有build议的解决scheme要么不相关,要么没有工作。 我的问题是我得到一个连接拒绝错误,每当我尝试更新Android SDKpipe理器。 这是SDKpipe理器的日志输出: Fetching https://dl-ssl.google.com/android/repository/addons_list-2.xml Fetched Add-ons List successfully Fetching URL: https://dl-ssl.google.com/android/repository/repository-7.xml Done loading packages. Fetching https://dl-ssl.google.com/android/repository/addons_list-2.xml Failed to fetch URL https://dl-ssl.google.com/android/repository/addons_list-2.xml, reason: Connection to https://dl-ssl.google.com refused 在Firefox中inputhttps://dl-ssl.google.com/android/repository/addons_list-2.xml只是超时 – 我没有得到一个XML文档。 我已经试过,没有强制http://选项没有运气。 这是从家里,我没有使用任何types的代理服务器,我没有设置防火墙。 我试过的其他东西(为了消除我的机器作为问题的根源)是在另一台使用相同Internet连接的计算机上的networking浏览器中inputhttps://dl-ssl.google.com (Acer笔记本电脑使用Win7 64位)。 连接超时在另一台计算机上,这几乎让我觉得我的IP在服务器上被列入黑名单(我不知道怎么会发生),或者这是一个ISP问题。 所以我的问题是如何获得SDKpipe理器更新? 如果我的IP实际上因为某种原因被Google的服务器封锁了,我能做些什么来解决它吗? 例如通过路由通过某种代理? dl-ssl.google.com是否有任何镜像? 环境信息:我在Kubuntu 12.04.2 LTS上使用ADT Rev 21.1。
尽pipe设置了ServerCertificateValidationCallback,但无法创buildSSL / TLS安全通道
我试图build立SSL / TLS连接到自签名证书的testing服务器 。 通过不安全的渠道进行沟通没有问题。 这里是我的示例代码,我已经写了基于这个解决scheme: 使用HttpClient C# 允许Untrusted SSL证书 忽略证书错误? .NET客户端连接到ssl Web API ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, sslPolicyErrors) => true; var c = new HttpClient(); var r = c.GetAsync("https://10.3.0.1:8443/rest/v1").Result; if (r.IsSuccessStatusCode) { Log.AddMessage(r.Content.Get<string>()); } else { Log.AddMessage(string.Format("{0} ({1})", (int)r.StatusCode, r.ReasonPhrase)); } 也试过这个: var handler = new WebRequestHandler(); handler.ServerCertificateValidationCallback = delegate { return true; […]
从https页面转到http页面时是否发送了HTTP标头Referer?
经过几次testing,我开始得出结论:浏览器不会发送Referer HTTP标头,只要点击https页面上的http页面即可。 这是什么安全原因? 是在标准的某个地方定义的?
如何将HTTPredirect到MVC应用程序中的HTTPS(IIS7.5)
我需要将我的HTTP站点redirect到HTTPS,添加了以下规则,但是当使用http://www.example.com尝试时出现了403错误,在浏览器中inputhttps://www.example.com时它工作正常。 <system.webServer> <rewrite> <rules> <rule name="HTTP to HTTPS redirect" stopProcessing="true"> <match url="(.*)" /> <conditions> <add input="{HTTPS}" pattern="off" ignoreCase="true" /> </conditions> <action type="Redirect" redirectType="Found" url="https://{HTTP_HOST}/{R:1}" /> </rule> </rules> </rewrite> </system.webServer>
示例网站与安全证书破碎
我想知道是否有人知道一个演示网站,显示HTTPSconfiguration不当或破碎的不同情况。 还是有人知道在野外的一个网站故意显示各种破损/错误configuration的HTTPS情况? …如果没有,那么如何使用search引擎来追踪这些想法呢? 我正在寻找展现破碎https行为的网站,例如: 自签名证书 凭证无效的子域名 过期的证书 带有安全和不安全内容的页面 等等… 我正在寻找HTTPS可能被错误configuration的各种方法的完整清单,理想情况下,我可以使用一些实际的例子来磨练一个抓取页面的工具,并告诉你它是否会产生任何浏览器安全错误。 (据我所知,没有这样的工具,没有人操作浏览器,任何人都知道吗?)
如何禁用HTTP严格传输安全?
我有一个与config.force_ssl = true的Rails应用程序,但现在我不想要SSLencryption,但我的应用程序仍然redirect到https。 我读到这是Apache上的HTTP严格传输安全问题。 我怎样才能禁用它?
如何通过JavaScript确定页面是否安全?
我想知道,如果该页面正在通过HTTP或HTTPS使用JavaScript访问。 有没有某种isSecure()方法,或者我应该只是parsing出来的URL不知何故?
GitHub – HTTPS访问
我无法通过HTTPS克隆我的存储库: $ git clone https://github.com/walterjwhite/project.configuration.git Initialized empty Git repository in ./project.configuration/.git/ error: Failed connect to github.com:443; Connection refused while accessing https://github.com/walterjwhite/project.configuration.git/info/refs fatal: HTTP request failed 我已经configuration.netrc与我的login名和密码以及我连接到的机器或服务器。
简单的jQuery代码工作正常,直到通过https://加载网站
我有一个简单的jQuery代码提交表单,隐藏/显示一些屏幕上的信息。 它testing时工作正常,直到通过https:/ /加载它在IE7中断。 它似乎完全打破,没有任何脚本有任何效果。 我也得到IE的警告,“有些元素是不安全的”。 有没有人有这种情况发生的经验? 或者更好,一个解决scheme! 我必须通过https加载页面作为信用卡付款页面。
