灵魂三拷问-HTTPS-你一定看得懂的原理解析 (灵魂三拷问什么意思)

随着 HTTPS 建站的成本下降，现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPS 比 HTTP 安全，也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等，但对于以下灵魂三拷问可能就答不上了：

本文将层层深入，从原理上把 HTTPS 的安全性讲透。

HTTPS 的实现原理

大家可能都听说过 HTTPS 协议之所以是安全的是因为 HTTPS 协议会对传输的数据进行加密，而加密过程是使用了非对称加密实现。但其实，HTTPS 在内容传输的加密上使用的是对称加密，非对称加密只作用在证书验证阶段。

HTTPS的整体过程分为证书验证和数据传输阶段，具体的交互过程如下：

① 证书验证阶段

② 数据传输阶段

为什么数据传输是用对称加密?

首先，非对称加密的加解密效率是非常低的，而 http 的应用场景中通常端与端之间存在大量的交互，非对称加密的效率是无法接受的;

另外，在 HTTPS 的场景中只有服务端保存了私钥，一对公私钥只能实现单向的加解密，所以 HTTPS 中内容传输加密采取的是对称加密，而不是非对称加密。

为什么需要 CA 认证机构颁发证书?

HTTP 协议被认为不安全是因为传输过程容易被监听者勾线监听、伪造 服务器 ，而 HTTPS 协议主要解决的便是网络传输的安全性问题。

首先我们假设不存在认证机构，任何人都可以制作证书，这带来的安全风险便是经典的“中间人攻击”问题。

“中间人攻击”的具体过程如下：

过程原理：

由于缺少对证书的验证，所以客户端虽然发起的是 HTTPS 请求，但客户端完全不知道自己的网络已被拦截，传输内容被中间人全部窃取。

浏览器是如何确保 CA 证书的合法性?

1. 证书包含什么信息?

2. 证书的合法性依据是什么?

首先，权威机构是要有认证的，不是随便一个机构都有资格颁发证书，不然也不叫做权威机构。另外，证书的可信性基于信任制，权威机构需要对其颁发的证书进行信用背书，只要是权威机构生成的证书，我们就认为是合法的。所以权威机构会对申请者的信息进行审核，不同等级的权威机构对审核的要求也不一样，于是证书也分为免费的、便宜的和贵的。

3. 浏览器如何验证证书的合法性?

浏览器发起 HTTPS 请求时，服务器会返回网站的 SSL 证书，浏览器需要对证书做以下验证：

1).验证域名、有效期等信息是否正确。证书上都有包含这些信息，比较容易完成验证;

3).判断证书是否被篡改。需要与 CA 服务器进行校验;

4).判断证书是否已吊销。通过CRL(Certificate Revocation List 证书注销列表)和 OCSP(Online Certificate status Protocol 在线证书状态协议)实现，其中 OCSP 可用于第3步中以减少与 CA 服务器的交互，提高验证效率

以上任意一步都满足的情况下浏览器才认为证书是合法的。

这里插一个我想了很久的但其实答案很简单的问题：

既然证书是公开的，如果要发起中间人攻击，我在官网上下载一份证书作为我的服务器证书，那客户端肯定会认同这个证书是合法的，如何避免这种证书冒用的情况?

其实这就是非加密对称中公私钥的用处，虽然中间人可以得到证书，但私钥是无法获取的，一份公钥是不可能推算出其对应的私钥，中间人即使拿到证书也无法伪装成合法服务端，因为无法对客户端传入的加密数据进行解密。

4. 只有认证机构可以生成证书吗?

如果需要浏览器不提示安全风险，那只能使用认证机构签发的证书。但浏览器通常只是提示安全风险，并不限制网站不能访问，所以从技术上谁都可以生成证书，只要有证书就可以完成网站的 HTTPS 传输。例如早期的 12306 采用的便是手动安装私有证书的形式实现 HTTPS 访问。

本地随机数被窃取怎么办?

证书验证是采用非对称加密实现，但是传输过程是采用对称加密，而其中对称加密算法中重要的随机数是由本地生成并且存储于本地的，HTTPS 如何保证随机数不会被窃取?

其实 HTTPS 并不包含对随机数的安全保证，HTTPS 保证的只是传输过程安全，而随机数存储于本地，本地的安全属于另一安全范畴，应对的措施有安装杀毒软件、反木马、浏览器升级修复漏洞等。

用了 HTTPS 会被抓包吗?

HTTPS 的数据是加密的，常规下抓包工具代理请求后抓到的包内容是加密状态，无法直接查看。

但是，正如前文所说，浏览器只会提示安全风险，如果用户授权仍然可以继续访问网站，完成请求。因此，只要客户端是我们自己的终端，我们授权的情况下，便可以组建中间人网络，而抓包工具便是作为中间人的代理。通常 HTTPS 抓包工具的使用方法是会生成一个证书，用户需要手动把证书安装到客户端中，然后终端发起的所有请求通过该证书完成与抓包工具的交互，然后抓包工具再转发请求到服务器，最后把服务器返回的结果在控制台输出后再返回给终端，从而完成整个请求的闭环。

既然 HTTPS 不能防抓包，那 HTTPS 有什么意义?

HTTPS 可以防止用户在不知情的情况下通信链路被监听，对于主动授信的抓包操作是不提供防护的，因为这个场景用户是已经对风险知情。要防止被抓包，需要采用应用级的安全防护，例如采用私有的对称加密，同时做好移动端的防反编译加固，防止本地算法被破解。

总结

以下用简短的Q&A形式进行全文总结：

Q: HTTPS 为什么安全?

A: 因为 HTTPS 保证了传输安全，防止传输过程被监听、防止数据被窃取，可以确认网站的真实性。

Q: HTTPS 的传输过程是怎样的?

A: 客户端发起 HTTPS 请求，服务端返回证书，客户端对证书进行验证，验证通过后本地生成用于改造对称加密算法的随机数，通过证书中的公钥对随机数进行加密传输到服务端，服务端接收后通过私钥解密得到随机数，之后的数据交互通过对称加密算法进行加解密。

Q: 为什么需要证书?

A: 防止”中间人“攻击，同时可以为网站提供身份证明。

Q: 使用 HTTPS 会被抓包吗?

A: 会被抓包，HTTPS 只防止用户在不知情的情况下通信被监听，如果用户主动授信，是可以构建“中间人”网络，代理软件可以对传输内容进行解密。

顺手 po 一张学习的过程图，高清大图点这里HTTPS学习草稿图.jpg

为什么有时候突然觉得这个场景曾经经历过？

1、人的大脑时刻在虚构各种情景，主要是潜意识活动，当你遇到现实中近似的情景时，就会与你记忆中以前大脑虚构的情景相呼应，加上心理强化的作用，你就会有似曾相识的感觉。 因为人在睡眠中，大脑仍在对现实中的一些参数运算，得到许多种结果。 似曾相识的情景是大脑运算的结果之一。 2、研究人员认为这可能是某个印象早已潜藏在做梦者的潜意识里，然后偶然再在梦里显现出来，也有些研究指出这种现象和另一种超越时空的潜意识有关。 另一方面，有些大脑活动研究专家指出这种现象也有可能是我们的大脑某半边处理讯息的速度稍为快过另半边所做成的。 3、这是时空隧道的碰撞或对梦的记忆。 在梦里已经看到了将要发生的场景，只是记不清梦境了，所以你遇到事情发生的时候会觉得好象那里经历过。 其实是勾起了你自己的记忆，对梦的记忆。 4、这个在医学上还有一种解释是大脑皮层瞬时放电现象，或者叫做错视现象，也可称为视觉记忆，经常会发生在你身处于非常熟悉的环境时。 我们的大脑有一个记忆缓存区，当你看见一见东西或者遇见一件事情的时候是先把记忆存储再缓存区。 之所以会发生眼前的事情好像已经经历过这种感觉，是因为我们在记忆存储的时候发生了错误，把它存在历史记忆中去了，在看着眼前的事情的时候你又从历史记忆中把它找出来，你就觉得好像以前已经发生过了。 在大脑疲劳的时候会比较容易产生这样的错觉。 5、生死意识流动的差异。 死/^^^^\生\____/死。 这是人的意识流动图。 人出生有了意识，到死之前这个意识一直是平坦的流动。 到死了之后，人的意识会按照曲折的路线回到出生时，从而一直往复。 因为死后的路线曲折，致使生时的记忆被分段的记录，只有处在接点的记忆才有可能被下一段“生”的意识绞缠，就会出现deja-vu现象。 至于为什么年轻人和老人会有这一现象，也很好解释。 年轻人的正常的意识形态还再形成中，而老年人的大脑的记忆回述功能较强。 而中年人由于生活压力过大，而经常忽视这种感觉，而不是不存在。 6、物理学上称这样的现象是时光倒流，也就是在速度大于光速后时空交错，四维空间偶尔发生混乱的特殊人体感觉。 当发生某个场景的时候，人的控制神经（中枢神经一部分）就会以极快的速度传送于记忆神经，这时大脑的反应还没有传达到记忆神经，所以当大脑的反应传到记忆神经的时候，就会让人感到以前发生过一样。 有科学家猜测，这时控制神经和记忆神经的传输速度会大于光速。 这是对相对论的一个巨大挑战，当然现在这个理论并没有得到证明，只是猜想阶段。 7、虽然正统派的科学者们拒绝谈论灵魂的有无，或是毫无余地地否定这一观点，但是高能物理学及一些其他的边缘物理学对这个问题的牵涉是不可否认的。 首先，是探讨灵魂的构成物质。 有一些异端物理学者提出灵魂的本质是一种高能粒子（物理学上有很多推测得来的证据，因为虽然人类可以依赖物理法则和规律预言它的存在，但人类的科技力量不足无法验证，包括很多种高能粒子等），本身携带巨大的能量，可以突破时间及空间的障碍，就是说可以在时间及空间中进行移动。 这种推论完全符合爱因斯坦的相对论。 它的特异性质在于它可以作为信息的载体进行无序性时空移动。 我们头脑中所有的记忆所有的思考都可以称之为信息，虽然现在还无法搞清信息的本质是什么，但却可以肯定脑电波对它有一定作用。 这就是我们所说的思考或是脑内意识活动。 而这种粒子平时就大量散播在我们周围的空间，当然也存在于我们的脑内。 正因为它的特性，我们才可以接收到外来信息进行思考、记忆、回忆，还有遗忘。 所谓遗忘就是一部分带有信息的粒子游离开我们脑部的意识空间。 遗憾的是至今都没有搞清楚是什么原因诱发这种粒子间的吸力和斥力的，或许与我们的脑电波及其他脑内化学物质有关。 但是，当我们的脑死亡后就会有大量的粒子游离开我们脑中的记忆区。 由于尚不清楚这种粒子的相吸和相斥的原理，也就无法解释和推算它们的游离比率。 在机率很低的情况下，这种粒子在游离之后仍然保持着它在原来在人脑中的排列性状，换言之也就是保持着这个人（已经死亡）的基本人格和记忆。 当它们在遇到新的结合目标（另一个人的脑）并结合之后，在这个人是新生儿（没有已经形成的记忆的情况下）就会发生人格的转移，也就是我们通常所说的轮回或夺舍。 但也有意外的情况发生，比如在结合后保持着潜伏状态到一定时间才突然觉醒，这也就是我们常说的人格突变现象.(也存在于记忆已经形成的人身上结合后觉醒，使其丧失原有人格的情况) 。 事实上,我们是无时无刻都会与这种粒子结合，比如我们突然冒出个怪想法，脑子里突然出现一些词句……甚至是做梦和预言等现象也都可以用这种理论解释。 即视感也可以这样解释。 8、时空错乱。 举个例子：你需要一个工具，但满屋子都找遍了就是找不到，但过了一会儿或一段时间，这个工具明明摆在平时放它的地方。 用爱因斯坦的观点解释，就是这个世界有很多时空，每个时空都按照一般的规律运行着，他们是平行的，一般不会有交叉，只是有时间的先后，但也有例外的情况，出现时空交叉，即时空错乱，这是就会发生工具消失的情况，例如一把钳子没了，转眼它又在哪儿了，也就是谁说，钳子暂时到其他的时空转了一圈，这个时候正让你碰上，当然，这样的巧合还是很少的。 人也一样，如果碰巧你存在的时空和未来的时空交叉，也就是说，你有很短暂的时间进入了未来时空，很快又回来了，假如你在未来时空用钳子修了一辆自行车，你回到现在的时空后，还要进行同样的动作（修自行车），但你的记忆里已经存储了这件事情，所以你就感觉这件事，这个景象好像在哪里经历过。 这和年龄与其他经历没什么关系。

求灵魂摆渡1-3资源，谢谢

链接:提取码:8ktu复制这段内容后打开网络网盘手机App，操作更方便哦 失效评论帮补

人本主义和行为主义是什么意思?

人本主义是德文Anthropologismus的意译，又译人本学。 希腊文词源antropos和logos，意为人和学说。 通常指人本学唯物主义，是一种把人生物化的形而上学唯物主义学说。 以19世纪德国的费尔巴哈和俄国的车尔尼雪夫斯基为代表。 费尔巴哈由于把庸俗唯物主义同一般的唯物主义混为一谈，避免采用甚至反对“唯物主义”这个术语，因而将自己的哲学称作“人本主义”或“哲学中的人本主义原则”。 车尔尼雪夫斯基也将他的唯物主义学说称作“人本主义”，并把他的哲学著作命名为《哲学中的人本主义原理》。 他们都反对把灵魂和肉体分割为两个独立的实体，反对把灵魂看作第一性的唯心主义观点。 但他们所了解的人，只是生物学意义上的自然人，只是抽象的、一般的人，而不是社会的人。 他们不是联系具体历史、联系社会实践来考察人，因而看不到人的社会性。 在现代西方哲学中，人本主义一词被某些唯心主义哲学家所歪曲。 如德国现象学者谢勒和法西斯主义理论家克拉格斯，就侈谈“哲学的人本主义”或以“肉体和灵魂的统一体”为对象的“人本学”或“性格学”。 他们的“人本主义”是一种宣扬非理性主义和种族主义的唯心主义理论。 行为主义(behaviorism)，或称行为论和行为学派，系由美国心理学家华森(JohnB．Watson，1878—1958)在1913年所创立。 按行为主义的主张，不但反对结构主义的心理结构与意识元素观念，而且，根本就不同意结构主义与功能主义将意识当做心理学研究之主题。 华森氏主张，心理学是一门科学，科学的研究只限于以客观的方法处理客观的资料。 内省不是客观的方法，用内省法所得到的意识经验，更非客观资料。 因此，行为主义者批评结构主义与功能主义二者，均不配称为科学心理学。 行为主义的主张，最重要者有以下四点：(1)强调科学心理学所研究者，只是能够由别人客观观察和测量的外显行为。 (2)构成行为基础者是个体的反应，集多个反应即可知行为的整体。 (3)个体行为不是与生俱来的，不是由遗传决定的，而是受环境因素的影响被动学习的。 （4)经由对动物或儿童实验研究所得到的行为的原理原则，即可推论解释一般人的同类行为。 像此种纯粹以“客观的客观”为标准的行为主义取向，被人称为激进行为主义(radicalbehaviorism)。 行为主义发展到三十年代后，其严守自然科学的取向受到了批评。 同时又因其他学派理论的影响，有些原属行为学派的学者，不再坚持“客观的客观”的原则，终而接受意识成为心理学研究的主题之一的理念。 行为主义中持有此种理论取向者，被称为新行为主义(new—behavioyism)。 从现代心理学的观点看，我们可以从下述两点对行为主义做公正的评论：其一，为使心理学符合科学的标准，行为主义者刻意将之限定为外显行为，将传统心理学中一切有关“心”的成份完全排除，致使心理学内涵窄化，难免有削足适履之缺失。 七十年代以后，现代心理学的界说“心理学是对行为与心理历程的科学研究”，又把失去了多年的“心”找回来，显然就是行为主义偏激取向的匡正。 其二，行为主义的严格科学取向，使心理学在研究上提高了方法与工具的品质，使心理学在社会科学的同辈中形象突出，在四十年代行为科学(behavioralscience)兴起，其名称之由来，就是受了当时行为主义心理学的影响。 因此，在科学心理学的发展上，行为主义仍然是有贡献的。 此外，行为主义的研究，在学习心理学上也是贡献甚大。