GCM

今天收到云主机厂商发来的安全漏洞扫描信息，提示我公网主机有DES和Triple DES 信息泄露漏洞(CVE-2016-2183)的漏洞要求修复。 漏洞详细描述： TLS（Transport Layer Security，安全传输层协议）是一套用于在两个通信应用程序之间提供保密性和数据完整性的协议。SSH（全称Secure Shell）是国际互联网工程任务组（IETF）的网络小组（Network Working Group）所制定的一套创建在应用层和传输层基础上的安全协议。IPSec（全称InternetProtocolSecurity）是国际互联网工程任务组（IETF）的IPSec小组建立的一组IP安全协议集。DES和Triple DES都是加密算法。;TLS、SSH和IPSec协议和其它协议及产品中使用的DES和Triple DES密码算法存在安全漏洞。远程***者可通过实施生日***利用该漏洞获取明文数据。 安全报告提供的修复建议： 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： https://www.openssl.org/blog/blog/2016/08/24/sweet32/ 通过补丁进行修复显然不现实，相关的证书已经生成了。于是想通过禁用DES相关的内容来达到修复的目的 检查配置： 根据描述为443端口暴露出来的

网络数据安全得到前所未有的重视 HTTPS成为解决传输安全问题利器 大家都知道，HTTP 本身是明文传输的，没有经过任何安全处理，网站HTTPS解决方案通过在HTTP协议之上引入证书服务，完美解决网站的安全问题。 下图左侧表示Chrome浏览器在HTTPS页面时会显示安全挂锁图标，这是在2016年Chrome55版本上的新增功能，用于引导互联网向安全的HTTPS协议转变。右侧是截止2020年1月，Chrome平台上HTTPS流量占比已经超过90%，另外通过Chrome平台的HTTPS浏览时间占比也超过90%，这些数据都表明网络数据安全得到了前所未有的重视。 HTTPS的实现原理是什么？ HTTPS协议通过TCP层之上引入TLS/SSL协议，来实现对HTTP数据的保护，实现数据加密、完整性校验以及防篡改。整个HTTPS过程包括：TCP建联、SSL握手、应用数据加密传输阶段。其中SSL握手的目的是为了在服务端和客户端协商出一个对称密钥，在应用数据传输阶段使用这对称密钥进行数据的加密和解密。 在HTTPS交互过程中主要使用三种算法，首先SSL握手阶段用到非对称加密的算法，通过公钥和私钥对数据记性加密解密。在应用数据加密传输的阶段，主要使用的是对称加密的算法和hash算法。 目前，国际上通用的非对称加密算法包括rsa算法和ecdsa算法

作者 | L的存在 来源 | 我是程序员小贱 本文将从以下几个方面进行分享。其中包括 HTTP发展史，HTTP缓存代理机制，常用的web攻击，HTTP和HTTPS的流量识别 ，网络协议学习的 工具 推荐以及 高频HTTP与HTTPS的高频面试题 题解等，开工。 提纲 1989年，蒂姆·伯纳斯 - 李（Tim Berners-Lee）在论文中提出可以在互联网上构建超链接文档，并提出了三点： URI ：统一资源标识符。互联网的唯一ID HTML ：超文本文档 HTTP ：传输超文本的文本传输协议 HTTP应用在哪儿 学习一门知识，采用五分钟时间看看这个知识是干啥的可能会更加有目的性。HTTP可谓无处不在，这里例举出几个。 HTTP应用场景 HTTP是什么 HTTP(hypertexttransport protocol)翻译过来为" 超文本传输协议 "，文本可以理解为简单的字符文字组合，也可以理解为更为复杂的音频或者图像等。那么将这个词语拆分为三个部分。 超文本传输协议 "超文本" 和 "文本" 相比多了一个字"超"，这样看来比文本丰富，因为它可以将多种文本/图像等进行 混合 ，更重要的是可以从一个文本 跳转 到另一个文本(文本连接)。 "传输" ，传输的过程中需要沟通，沟通即可能一对一沟通也可能一对多沟通(进行内容协商)，无论怎么样，参加沟通的人数>1

今天SignalR部署在测试环境服务器前端出现无法连接，前端报错如下: failed: Error during WebSocket handshake: Unexpected response code: 200 Failed to start the transport 'WebSockets': null SignalR地址直接报错404 然后查看服务器端是否有什么问题，服务器端也有报错如下 Microsoft.AspNetCore.SignalR.HubConnectionContext - Failed connection handshake. 看前端报错看像是WebSocket问题，因为SignalR本质还是通过WebSocket来实现通信的，根据错误像是服务器不支持WebSocket，我们是使用的Nginx做代理的时候默认配置不支持WebSocket。需要修改代理设置，需要改代理请求头的设置。 主要修改如下，在location节点下面新增。 文末有完整的nginx配置实例可复制。 proxy_http_version 1.1 指定使用http版本，因为只有http1.1才支持长连接。 proxy_set_header Upgrade $http_upgrade 将客户端http请求头Upgrade 透传过来 roxy_set_header Connection

作者 | L的存在 来源 | 我是程序员小贱 本文将从以下几个方面进行分享。其中包括 HTTP发展史，HTTP缓存代理机制，常用的web攻击，HTTP和HTTPS的流量识别 ，网络协议学习的 工具 推荐以及 高频HTTP与HTTPS的高频面试题 题解等，开工。 提纲 1989年，蒂姆·伯纳斯 - 李（Tim Berners-Lee）在论文中提出可以在互联网上构建超链接文档，并提出了三点： URI ：统一资源标识符。互联网的唯一ID HTML ：超文本文档 HTTP ：传输超文本的文本传输协议 HTTP应用在哪儿 学习一门知识，采用五分钟时间看看这个知识是干啥的可能会更加有目的性。HTTP可谓无处不在，这里例举出几个。 HTTP应用场景 HTTP是什么 HTTP(hypertexttransport protocol)翻译过来为" 超文本传输协议 "，文本可以理解为简单的字符文字组合，也可以理解为更为复杂的音频或者图像等。那么将这个词语拆分为三个部分。 超文本传输协议 "超文本" 和 "文本" 相比多了一个字"超"，这样看来比文本丰富，因为它可以将多种文本/图像等进行 混合 ，更重要的是可以从一个文本 跳转 到另一个文本(文本连接)。 "传输" ，传输的过程中需要沟通，沟通即可能一对一沟通也可能一对多沟通(进行内容协商)，无论怎么样，参加沟通的人数>1

https://www.cnblogs.com/madsnotes/articles/6247315.html （同事亲测） https://www.cnblogs.com/cokolxvd/p/11540825.html 2017年1月1日开始，苹果要求所有iOS应用必须使用ATS，即APP内连接必须使用安全的https。 ATS特性检测地址： https://www.trustasia.com/tools/ats-checker.htm http://www.sslsmart.com/ 配置指南： 需要配置符合PFS规范的加密套餐，目前推荐配置： ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4 需要在服务端TLS协议中启用TLS1.2，目前推荐配置： TLSv1 TLSv1.1 TLSv1.2 nginx证书配置 server { ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; } Apache证书配置 <IfModule mod_ssl.c> <VirtualHost *

「玩转腾讯云」 有奖征文活动正在如火如荼进行当中，不时有优秀的作品出现，本文是对其中一篇的摘录。你是否因为总记不住一大堆账号密码而烦恼？是否对第三方记录密码服务心存戒心？云+社区专栏热门作者，腾讯高级工程师张戈教大家基于腾讯云服务，低成本打造私有密码管理服务的方案！ 引言 在我们的生活和工作当中，会用到非常多的网络应用，因为并不是每个应用都能用类似QQ/微信一键登录的方式来绑定账号，所以也就有了非常多的账号密码，记密码成为了让我们非常头疼的事情。太简单或者过于单一的密码容易被撞库或“脱裤”，而太复杂的密码又难以记忆。 因此，市面上就有了多款帮助我们记录密码的软件服务，比如1password、Lastpass等。这些软件能够自动抓取我们提交的账号密码保存到云端，实现多终端同步、自动填充密码等功能。虽说这类服务一般还是比较靠谱的，而且还有一些付费套餐。但是密码存在别人的服务器上你总是会有些不放心，谁知道哪天会不会出现数据泄露之类的问题？ 鉴于此，本文分享一个基于腾讯云服务，低成本打造个人专属密码管理服务的方案，妈妈再也不用担心我记不住密码啦！ 一、准备工作 本文完整的方案会用到DNSPod、腾讯云CDN、CVM以及COS 4个云服务，因此我们先登录腾讯云控制台购买或激活服务： 个人域名一个，下文以 mm.zhangge.net 代替（必须，最好是备案过的域名，如果没有可以新注册一个）

漫谈TLS nonce https://www.sslchina.com/ 密码学的基本原则之一是你不能把多条消息用同一种编码方式进行加密。那样的话，两条相同的明文会有相同的密文，这是个危险的漏洞。（这和你不能用ECB来加密块的道理类似。） 仔细考虑一下就会发现，一个纯粹的加密函数正像任何一个其他函数一样：具有确定的结果。在输入（编码方式和消息）相同的情况下，它总会返回相同的输出（加密后的消息）。而我们不想让攻击者知道这两条加密后的消息是由同一条明文编码来的。 解决办法是使用IV（初始向量）或nonce（只使用一次的数值）。因为对于每条加密消息，我们都可以使用不同的byte字符串。它们是非确定理论的起源，而这种理论要求制造出令人难以分辨的副本。这些消息通常不是什么秘密，但为了解密需要，我们会在分发时对它们进行加密。 IV与nonce之间的区别是有争议的，但也不是没有关联的。不同的加密方案所保护的侧重点也不同：有些方案需要的只是密文不重复，这种情况我们通常叫作nonce；还有一些方案需要密文是随机的，甚至完全不可预测的，这种情况我们通常叫作IV。 TLS中的nonce TLS的核心是加密一个数据包的流，也称“记录”。首次握手关注的是对连接进行认证并生成密钥，然后由记录层以相同密钥对各种记录进行加密。 对Nonce的管理可能是个很有难度的问题，但TLS接近最完善的方案：在连接过程中

谷歌浏览器Google Chrome 80正式版例行更新详细版本80.0.3987.163。Google Chrome浏览器又称谷歌浏览器采用Chromium内核全球最受欢迎的免费网页浏览器追求速度、隐私安全的网络浏览器。 先说下吧。chrome80以前的版本是直接可以通过DPAPI来进行解密的。关于DPAPI 大家可以 看这里的介绍 DPAPI是Windows系统级对数据进行加解密的一种接口无需自实现加解密代码微软已经提供了经过验证的高质量加解密算法提供了用户态的接口对密钥的推导存储数据加解密实现透明并提供较高的安全保证 DPAPI提供了两个用户态接口`CryptProtectData`加密数据`CryptUnprotectData`解密数据加密后的数据由应用程序负责安全存储应用无需解析加密后的数据格式。但是加密后的数据存储需要一定的机制因为该数据可以被其他任何进程用来解密当然`CryptProtectData`也提供了用户输入额外`数据`来参与对用户数据进行加密的参数但依然无法放于暴力破解。 总体来说程序可以使用DPAPI来对自己敏感的数据进行加解密也可持久化存储程序或系统重启后可解密密文获取原文。如果应用程序对此敏感数据只是暂存于内存为了防止被黑客dump内存后进行破解也对此数据无需进行持久化存储微软还提供了加解密内存的接口`CryptProtectMemory`和

sdfsdf 服务网格作为一个改善服务到服务通信的专用基础设施层，是云原生范畴中最热门的话题。随着容器愈加流行，服务拓扑也频繁变动，这就需要更好的网络性能。服务网格能够通过服务发现、路由、负载均衡、心跳检测和支持可观测性，帮助我们管理网络流量。服务网格试图为无规则的复杂的容器问题提供规范化的解决方案 将供应链搬出中国，似乎成了过去两三个月新冠肺炎疫情衍生出的热门话题。 年初新冠肺炎疫情爆发，让中国供应链的生产活动几乎完全停顿，影响席卷全球：苹果的新 5G 有可能因疫情而延期推出，特斯拉新款芯片无法及时交付、陷入“芯片门”纠纷。其余像三星、小米、索尼等著名跨国企业，均受到供应链停摆的影响。 因此，fihxusg.answers.yahoo.com/question/index?qid=20200427202642AAOwKjZ?MO2=11fdl=79j hk.answers.yahoo.com/question/index?qid=20200427202642AAOwKjZ?IN7=16atv=09s nz.answers.yahoo.com/question/index?qid=20200427202642AAOwKjZ?XV5=66nla=65g answers.yahoo.com/question/index?qid=20200427202654AAXoeNd?EB5