年薪百万，也填不上这类人才的缺口！

不仅是一场公关灾难

一位安全研究人员向科技媒体The Register透露，这家金融公司犯下了严重的网络安全错误，这家公司甚至压根没有(负责)网络安全的专业人才，接收安全研究人员警告的是一个仅有大学计算机科学背景的普通业务人员。

The Register的报道补充说，该公司的员工“完全不了解”Azure Blob的工作方式(Azure Blob是与Amazon Web Services S3等云存储解决方案竞争的云备份存储解决方案)，整个操作完全取决于外部IT提供商的网络安全性。

该公司员工在回应媒体采访时说：“这是我们在中国香港的IT供应商提供的备份解决方案，我们认为这是一种相当正常的云服务。显然这里有问题!”

据悉，泄露数据已被IT供应商移除。

ImmuniWeb的首席执行官、网络安全和法律专家Ilia Kolochenko表示，这家投资公司要准备面对数据泄露的灾难性后果。

Kolochenko表示：“大多数地区的司法部门都会将这一事件视为重大过失，其基金也将面临客户的一系列诉讼。过去，类似事件导致企业声誉受损，无法与受挫的客户继续合作，因此导致破产。对于已经泄露的数据，我们还期望负责起诉逃税或洗钱的各种执法机构对泄露文件进行调查。”

云配置错误与云服务品牌无关

无论使用何种品牌的云存储服务，最近几个月，错误配置的问题始终困扰着各种企业。

不久前，酒店预订平台Cloud Hospitality由于配置错误的Amazon Web Services S3存储服务而暴露了大约1000万人的数据。

基督教应用程序Pray.com也因为AWS S3配置错误暴露了其数千万客户的个人数据。

vpnMentor关于该漏洞的报告说：“通过进一步调查，我们了解到Pray.com已保护了一些文件，并将它们设置为存储桶中的私有文件以限制访问。但是，与此同时，Pray.com已将其S3存储桶与另一项AWS服务，即AWS CloudFront内容交付网络(CDN)集成在一起。Cloudfront允许应用程序开发人员将内容缓存在世界各地由AWS托管的代理服务器上，使数据更接近用户，而不必从应用程序的中心服务器加载这些文件。结果，即便CD3存储桶中的文件有单独的安全设置，未授权者都可以通过CDN间接查看和访问它们。
 

一家开曼群岛离岸银行的备份数据(涵盖5亿美元的投资组合)近日公开暴露，泄露信息包括个人银行业务信息、护照数据甚至在线银行PIN码。

由于使用Microsoft Azure Blob云服务时发生配置错误，这家开曼群岛投资公司(匿名)已删除多年的备份数据不但没有消失，反而直到事件曝光前都可以在线轻松获得。安全研究人员发现，一个Blob单一URL指向一个庞大的文件数据库，包括个人银行信息、护照数据，甚至是网上银行PIN码。数据泄露事件对于这家标榜匿名和保密的金融公司来说，无疑意味着一场公关灾难。
 

现在我们看看如果站点申请的是二级 CA 颁发的证书，client 收到之后会如何验证这个证书呢，实际上 service 传了传给二级 CA 的证书外，还会把证书信任链也一起传给客户端，这样客户端会按如下步骤进行验证：

浏览器就使用信任的根证书(根公钥)解析证书链的根证书得到一级证书的公钥+摘要验签

拿一级证书的公钥解密一级证书，拿到二级证书的公钥和摘要验签

再然后拿二级证书的公钥解密 server 传过来的二级证书，得到服务器的公钥和摘要验签，验证过程就结束了

总结

相信大家看完本文应该对 HTTPS 的原理有了很清楚的认识了， HTTPS 无非就是 HTTP + SSL/TLS

（编辑：南通站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!