服务器使用私钥解密后再保存到数据库_解决方案网当前位置:& &&&HTTP保险-nonce和timestamp在Http安全协议中的作用HTTP保险-nonce和timestamp在Http安全协议中的作用本文收集于网络，只用于方便查找方案，感谢源作者，如果侵权请联系删除HTTP安全-nonce和timestamp在Http安全协议中的作用
/page/M0/S591/591082.html 写道
前段时间给客户网站做新浪微博账号登录功能，对OAuth协议以及相关的一些安全协议做了一些研究，顺便就记录一下学习心得吧。在这里就不打算具体讲OAuth的协议流程了，而是针对OAuth请求头里的nonce（随机数）、timestamp（时间戳）、signatrue（签名）这些参数的作用做一下总结。
首先看一下HTTP规范里定义的Basic认证。
Basic认证及其安全问题
Basic认证是一个流程比较简单的协议，整个过程可以分为以下三个步骤：
a） 客户端使用GET方法向服务器请求资源。
b） 服务器返回401响应码和WWW-Authentication：Basic realm=”Family”响应头要求客户端进行身份验证。其中realm声明了资源所在的域。
c） 浏览器接收到以上HTTP响应头后，弹出登录框要求用户输入用户名和密码；用户提交的用户名和密码通过冒号串联起来并对其进行BASE64编码后再提交到服务器；服务器对提交上来的BASE64字符串进行验证，如果验证通过则返回200响应码。
Basic认证固然简单、便利，但它只能作为对非敏感资料的接见认证，因为它并不安然，首要发挥解析在以下几个方面：
1、 客户端提交的用户名和暗码只经过简单的编码，进击者只要****到该数据包，便可很轻易的将其反编码为原始用户名和暗码。
2、 即使客户端应用了一种比BASE64更错杂的编码体式格式使得进击者无法对其反编码，进击者也可以应用fiddler等对象将阻碍到的HTTP报文从头提交给办事器，办事器只对编码的字符串进行验证，所以验证同样能经由过程。这种进击办法称之为重放进击（Replay-Attack）。
以上两个题目也是各类身份认证和谈须要推敲到的安然题目，包含OAuth、Digest认证、NTLM认证等等认证机制都应用了nonce和timestamp来解决这些题目。
Nonce、Timestamp 解决Replay-Attack题目
Nonce是由办事器生成的一个随机数，在客户端第一次恳求页面时将其发还客户端；客户端拿到这个Nonce，将其与用户暗码串联在一路并进行非可逆加密（MD5、SHA1等等），然后将这个加密后的字符串和用户名、Nonce、加密算法名称一路发还办事器；办事器应用接管到的用户名到数据库搜刮暗码，然后跟客户端应用同样的算法对其进行加密，接着将其与客户端提交上来的加密字符串进行斗劲，若是两个字符串一致就默示用户身份有效。如许就解决了用户暗码明文被窃取的题目，进击者就算知道了算法名和nonce也无法解密出暗码。
每个nonce只能供一个用户应用一次，如许就可以防止进击者应用重放进击，因为该Http报文已经无效。可选的实现体式格式是把每一次恳求的Nonce保存到数据库，客户端再一次提交恳求时将恳求头中得Nonce与数据库中得数据作斗劲，若是已存在该Nonce，则证实该恳求有可能是恶意的。然而这种解决规划也有个题目，很有可能在两次正常的资料恳求中，产生的随机数是一样的，如许就造成正常的恳求也被当成了进击，跟着数据库中保存的随机数络续增多，这个题目就会变得很明显。所以，还须要加上别的一个参数Timestamp（时候戳）。
Timestamp是按照办事器当前时候生成的一个字符串，与nonce放在一路，可以默示办事器在某个时候点生成的随机数。如许就算生成的随机数雷同，但因为它们生成的时候点不一样，所以也算有效的随机数。
题目又来了，跟着用户接见的增长，数据库中保存的nonce/timestamp/username数据量会变得很是大。对于这个题目，可选的解决规划是对数据设定一个&＃8220;过期时候&＃8221;，比如说在数据库中保存跨越一天的数据将会被清除。若是是如许的，进击者可以守候一天后，再将阻碍到的HTTP报文提交到办事器，这时辰因为nonce/timestamp/username数据已被办事器清除，恳求将会被认为是有效的。要解决这个题目，就须要给时候戳设置一个超不时候，比如说将时候戳与办事器当前时候斗劲，若是相差一天则认为该时候戳是无效的。
HTTP消息体的加密
很不幸的是，经过上方这些错杂的处理惩罚后，我们的数据传输仍然是不安然的。我们都知道，http报文是以明文的体式格式在收集中传输的，包含Basic认证、Digest认证、OAuth、NTLM等等验证这一些认证机制都只是对HTTP头的信息作保护，而对于Http消息体的数据却没有作加密。以新浪首页的登录为例，它的账号就是以明文的体式格式传送的，如下图所示：
这样的方式是很不安全的，用户名和密码完全以明文的方式提交了。同样是新浪的网站——新浪微博就在登录前作了加密过的，如下图所示：
加密的方法可以参考前面讲到的nonce+timestamp的方案。不过这只解决了登录的问题，在注册时就不能提交使用nonce和timestamp非可逆加密了，这个时候要使用非对称加密。在用户打开注册页时，服务器生成一个公钥/私钥对并将公钥返回给客户端，客户端使用该公钥将密码加密后提交到服务器，服务器使用私钥解密后再保存到数据库。非对称加密算法的特点是每一个公钥和私钥都是一一对应的，使用公钥加密后只有拥有私钥的人才能进行解密，所以攻击者截取到http报文也毫无用处。
当然，在条件允许的情况下，可以使用SSL来实现HTTP报文的加密，这种方案是在应用层和传输层中间添加一个SSL层，该层使用对称加密的方法将HTTP报文加密后再传递到传输层，如下图所示：
在这之前，客户端与服务器需要使用非对称加密的方法来协商用于对称加密的公钥，对称加密要求加密者和解密者拥有同一个密钥（即公钥）。当客户端首次访问页面时，需要生成一个公钥给服务器，而这个公钥不是不可以给第三方知道的（知道了这个公钥就可对数据进行解密了），所以需要服务器首先生成一个公钥/密钥对，并使用生成的公钥加密客户端生成的公钥（非对称加密），这一个过程与前面讲到的注册密码加密的方式类似。
正因为在正式数据传输之前需要在服务器跟客户端之间进行几轮的协商，所以HTTPS相比HTTP来说安全性会高些、而性能会差些。
上一篇：下一篇：
File: 19:43:22登录/注册 &
后使用快捷导航没有帐号？
加拿大旅游保险不保哪些内容？
|原作者: Nick|来自: 51博客
乐活按语：保险嘛，顾名思义保的是风险是未知的东西，而不是现在已经知道的东西，保险公司都已经知道一开始保你就必须付出赔偿，你只要用常识想一下，保险公司会愿意收那一点点保费，赔本赚吆喝吗？即使有的保险保所谓的All ri ...
在业务过程中，经常有客户问到：你们的包稳定慢性病是不是现在有病来了就受保？我有一个朋友现在怀孕了，想来加拿大生孩子，你们的旅游保险是不是有保生孩子的费用？等等等等类似的问题。现实中有很多客户很喜欢听好听的话，只要保险顾问回答的答案是“肯定的、绝对的、没问题的、包我身上的”，客户就喜欢，就受相信，但不得不说，这些所谓打包票的口头回答真的算不得数的，最终出了问题赔不赔钱不是保险顾问能够说得算的，要由保险公司及其他相关认证机构（如医院、医生及其他相关专业人士）作出判断的。保险嘛，顾名思义保的是风险是未知的东西，而不是现在已经知道的东西，保险公司都已经知道一开始保你就必须付出赔偿，你只要用常识想一下，保险公司会愿意收那一点点保费，赔本赚吆喝吗？即使有的保险保所谓的All risk，也不是保所有的风险，也是有例外的。所以，有的保险顾问不做功课不好好学习不了解真正的东西或故意隐瞒一些重要的条款，是有可能给客户造成误导的。我经常会遇到客户对我说：我在其他地方问过了，他们那里都可以，你这里怎么就不可以了，而且他们那里的费用比你的还便宜（根本就不知道有无垫底费的区别，保险顾问就没有跟他们提过这个问题就以低价吸引客户，没出问题钱就安全地赚走了，出了问题客户问起来，就解释说都是有这个自己付的部分，就象你的汽车保险一样，出了小事故，三百五百的都是自己出）？遇到这样的人，我很多时候是无话可说。我说多了，可能客户会觉得我在攻击其他保险顾问，让人感觉人品很差。但我就不知道，为什么这么多人是这么主动而且愿意被忽悠、被骗？每每到了出了问题的时候，有的人就到处说保险顾问的问题和不是，骂人家骗子，有时候我感觉有很大的问题是在客户身上（可能很多不是保险顾问的人看了会骂我），我不得不说这是事实。有句话说：有什么样的民众，就有什么样的政府。我套用这句话：有什么样的客户，就有什么样的保险顾问。市面上那么多保险顾问爱骗人，主要也是基于客户爱听好听话，喜欢得到空头的许诺而逐渐形成的，因为太过于老实地解释保险的条款反而得不到生意，何不隐瞒一些呢？到后来，就隐瞒得越来越多，客户想听什么就讲什么，就形成保险顾问见人说人话，见鬼说鬼话，再后来，见人也说鬼话。所以，我劝朋友们，有机会，看看我的博客多学习了解一些真正的东西。对于保险公司所不保的内容，不同公司会有所差别（要向保险顾问了解清楚），但大体上的东西是不会有什么区别的。这些东西如下：一、保单生效之前的病和伤：同时例外还包括不作为被保人旅行一部分的旅程或者没有支付保费的旅程部分，比如：保险顾问经常会说，一上飞机就受保。但是，我不得不纠正，假如你的父母从中国的云南出发来加拿大旅游探亲，当天晚上将乘加航离开北北京或上海来加拿大，但他们早上从云南飞上海或北京的航班出现受伤或是事故，旅游保险是不包含这个的。所谓的一上飞机就受保指的是登上来加拿大的飞机。也就是说从云南到北京或上海，这一部分旅程不被作为来加拿大的旅程，虽然前面的旅程是作为来加拿大旅程的一部分，但前面在中国境内的旅程保险公司是不负责的，如果要保必须向中国境内的保险公司购买这部分的保险。从加拿大境内出国旅行也一样。假如你跟渥太华的朋友约好一起去加勒比海玩，车在从多伦多到渥太华的路上出事故了，你受伤了，保险公司不负责这个受伤的赔偿（由OHIP或者你自己公司的团体保险负责），由于保险公司保的是国外的旅行。这一段旅行虽然作为整体旅行的一部分但是不保。二、无关紧急状态的生病或受伤：如，一般健康评估或检查、实验性药物、预防性药物或疫苗、可随意选择时间的治疗、任何形式的整容手术或治疗、可以被延迟直到返回被保险人的居住国的治疗。三、因为提早或延迟返回的费用：这种状况的界定是被保人明白所出现的问题或形势将导致所定的旅程不可能完成。四、因旅程被推迟或干扰的费用：比如，你的旅程是去探访一位生病的人，但由于所探访的人的病情恶化或出现死亡以致你所定的旅程出现推迟或干扰，这个状况所引起的费用保险公司是不负责赔偿的。五、医院或医疗费用：不要奇怪，别出一身汗，听我慢慢解释。这一个例外是指专们为获得这样医院或治疗待遇的情况，不论这种情况是否由医生推荐。这个专为获得医疗待遇的行为包括在旅途中生孩子、在预产期八个星期内的分娩及产前护理，或怀孕及分娩并发症。这些费用保险公司是不负责的，因为这些是被保人或保单申请人早到已经知道并且事实存在的风险。六、怀孕、分娩、流产及其所引起的并发症的治疗费用：政府的保险指引里规定是预期在八个星期之内的分娩及怀孕所引起的相关费用保险公司不负责。现在大部分保险公司完全不负责任何与怀孕有关的费用（请向保险顾问确认清楚，以免出现纠纷）。七、自杀或自残或者企图自杀或自残所产生的医疗费用：这种行为无论是在精神正常还是不正常或是精神情绪不稳定的情况下进行的，保险公司都不负责赔偿。除非因为在住院治疗期间滥用药物或麻醉品，或与之相关的治疗事故。若被保险人在治疗期间未按照规定治疗或违反医生规定的治疗而出现上述情况，保险公司也是不负责赔偿的。八、骚乱（动乱）、战争或战争行动（不管是否宣布）：凡是出现以上状况，保险公司不负责被保人的受伤或死亡赔偿。九、空中旅行：别紧张别担心，这里所指的空中旅行是作为飞行员的空中旅行，作为乘客不受此限制。即飞行员买不能买这个保险，即使买了，保险公司也不负责赔偿。十、后续的治疗费用：即被保人在控制了紧急病症或受伤之后适合返回居住国，后续的康复费用保险公司是不负责的。十一、保险对一些危险的运动项目是不保的，如攀岩、登山、跳伞、潜水、蹦极、洞穴抢险、赛车等。十二、有些目的地是不保的，如政治、社会、医疗卫生不稳定的地区，如索马里、叙利亚、阿富汗、伊拉克等国，有时候一些出现传染病的国家或地区（如政府宣布为旅游提醒危险国或地区）。十三、先前存在的问题或疾病，这是一个最为通常的保险公司不负责赔偿的风险，也是本文开头所谈到的客户问的比较多而且对保与不保的界限比较不清楚的地方。这个问题在下一篇文章里将专门来谈论这个问题。本文仅作为信息参考，非任何形式的投资理财建议与意见。需要进行投资理财活动，请咨询专业合格的理财顾问。
上一篇：下一篇：
Powered by丶萌萌站起來
100 熊猫人 萨满祭司
从昨天晚上 开始 在登陆的时候输入账号密码后 就直接断开连接，一直上不了，后面看你们所谓的技术贴说删除 WOW.EXE（64位） 删了 更新战网 就一直出现这个问题，到今天也是这个问题，各种网络问题全部排除。看电影下东西都完好，实在郁闷了 赶紧帮解决下！
丶萌萌站起來
100 熊猫人 萨满祭司
PS：战网也一直登陆不上去用客户端
90 人类 圣骑士
求帮助啊，下载不了，客户端，一直提示这个错误，我都照你说的做了
100 牛头人 战士
每次更新都是这B样子，没能力就不要BB，说是我们玩家的问题
凝風乄止箭
100 熊猫人 猎人
3L，是胀干饭的。我11点弄到现在，总算刚更新好。各种纠结。
一直被守尸
100 人类 法师
每次更新都是最让玩家怕的时候
100 血精灵 圣骑士
众所周知。WY就只有个运营团队。什么技术啥子的。。都是吃X长大
100 血精灵 猎人
遇到这个问题。怎么都不行的。或者在国外的可以用我这个方法可行。1，登录战网登录器然后直接登出。会出个小的战网登录器。2，小登录器左上角有个地球模样的图标，默认是中国或者CHINA。选择最上方北美及东南亚最好~（我选的）3，小登录器右上角有齿轮模样的图标点他选离线模式。这个是不需要账号密码的。4，进去应该可以直接更新或者下载了。5，完成后在登出再点小地球选回中国。正常输入账号密码进入游戏即可。6，次方法用完下次重新启动电脑还得按上述步骤重来一遍。7.祝大家游戏愉快。
暴力威胁。我们将严肃对待此类行为，并会上报有关部门。
发布的主题中包含其他玩家的个人信息。包括实际地址、邮箱地址、电话号码及不当的照片和/或视频。
骚扰或歧视性用语。此类言辞将不允许出现。
现实生活中的威胁
失效的链接
阐述理由(最多256字)A08：财经新闻
A08：财经新闻
<option value="
<option value="
<option value="
<option value="
<option value="
<option value="
<option value="
<option value="
<option value="
<option value="
<option value="
<option value="
<option value="
保险业“偿二代”全面实施高风险
险企将受负面影响
北京青年报
&&&&本报讯（记者&&蔺丽爽）保监会前日宣布第二代保险公司偿付能力监管制度体系（简称“偿二代”）将自2016年一季度起正式实施。保监会财会部主任任春生表示，此举有利于中国保险业抵御风险能力进一步增强，同时还有助于引导该行业转型升级，更好地服务实体经济。
&&&&经国务院同意，保监会已于近日发布《关于中国风险导向的偿付能力体系正式实施有关事项的通知》，决定结束保险业偿付能力监管体系的“双轨并行”的过渡期状态，正式切换为“偿二代”。自2016年一季度起，保险公司只向保监会报送“偿二代”报告，停止报送“偿一代”报告。
&&&&据介绍，“偿二代”监管主要侧重在三方面：定量要求、定性要求以及市场约束机制，“偿二代”的核心是以风险为导向。任春生表示，在“偿一代”过渡至“偿二代”，从规模导向转换为风险导向，这将对产品结构高风险、管理能力差的保险公司产生不利影响，加大其资本金要求。自2015年一季度起，在历时一年的过渡期中，偿付能力不达标的保险公司数量在逐步下降，最初多达十余家，到2015年四季度末时，只有6家保险公司不达标。
&&&&任春生表示，“偿二代”和“偿一代”主要的差异体现在风险导向上，这对不同公司会产生不同影响。目前看，不达标企业并没有超出预期，行业企业的整体资金运用风险仍处于可控范围内。一些不达标的企业已经开始着手整改了，通过增资、调整结构、发资本债补充资本等方式，满足偿付能力要求，但这需要时间。<INPUT type=checkbox value=0 name=titlecheckbox sourceid="SourcePh" style="display:none">}