HTTP与HTTPS以及墙内的走狗网站

在三大社交网站(facebook,twitter,google plus)上混过的同道们都应该注意到了一点:这三个网站的域名前面都是https而不是最常见的http。

先介绍http:超文本传输协议(英文:HyperText Transfer Protocol,缩写:HTTP)是互联网上应用最为广泛的一种网络协议。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。通过HTTP或者HTTPS协议请求的资源由统一资源标识符(Uniform Resource Identifiers,URI)来标识。HTTP是一个客户端终端(用户)和服务器端(网站)请求和应答的标准(TCP)。通过使用Web浏览器、网络爬虫或者其它的工具,客户端发起一个HTTP请求到服务器上指定端口(默认端口为80)。我们称这个客户端为用户代理程序(user agent)。应答的服务器上存储着一些资源,比如HTML文件和图像。我们称这个应答服务器为源服务器(origin server)。在用户代理和源服务器中间可能存在多个“中间层”,比如代理、网关或者隧道(tunnel)。
尽管TCP/IP协议是互联网上最流行的应用,HTTP协议中,并没有规定必须使用它或它支持的层。事实上,HTTP可以在任何互联网协议上,或其他网络上实现。HTTP假定其下层协议提供可靠的传输。因此,任何能够提供这种保证的协议都可以被其使用。因此也就是其在TCP/IP协议族使用TCP作为其传输层。
通常,由HTTP客户端发起一个请求,创建一个到服务器指定端口(默认是80端口)的TCP连接。HTTP服务器则在那个端口监听客户端的请求。一旦收到请求,服务器会向客户端返回一个状态,比如”HTTP/1.1 200 OK”,以及返回的内容,如请求的文件、错误消息、或者其它信息。

HTTP协议的具体定义复杂专业,在此不进行具体介绍,你只需要搞清楚一点:在只使用HTTP协议的情况下,本地浏览器与目标网站之间的数据流是明文的!也就是说,你的ISP知道你都干了些什么,而且任何人(黑客,GFW,盖世太保)都可以对你的数据流进行截取监听,你没有任何隐私可言。

这对于需要登录的网站简直是噩梦,账号密码以及在网站上的发言都很容易被盗取,而且要制作一个能骗过多数人的钓鱼网站也很容易,因为本地浏览器并不会去验证目标服务器的真实身份,很容易遭受中间人攻击(攻击者伪装成目标服务器接收数据流,解密监听后在转给真正的目标服务器)。

为了增加安全性,HTTPS横空出世:网景(曾经很强大的收费浏览器公司,后来被微软用免费的IE搞死)在1994年创建了HTTPS,并应用在网景导航者浏览器中。最初,HTTPS是与SSL一起使用的;在SSL逐渐演变到TLS时,最新的HTTPS也由在2000年五月公布的RFC 2818正式确定下来。(20年后竟然大多数网站还不支持HTTPS,这普及速度真是够慢的!)

HTTP协议和安全协议同属于应用层(OSI模型的最高层),具体来讲,安全协议工作在HTTP之下,运输层之上:安全协议向运行HTTP的进程提供一个类似于TCP的套接字,供进程向其中注入报文,安全协议将报文加密并注入运输层套接字;或是从运输层获取加密报文,解密后交给对应的进程。严格地讲,HTTPS并不是一个单独的协议,而是对工作在一加密连接(TLS或SSL)上的常规HTTP协议的称呼。
HTTPS报文中的任何东西都被加密,包括所有报头和荷载。除了可能的选择密文攻击之外,一个攻击者所能知道的只有在两者之间有一连接这一事实。

好吧,又多了一堆术语:SSL,TLS,不过也可以看出来HTTPS是HTTP与SSL/TLS的组合协议。
SSL:安全套接层(Secure Sockets Layer,SSL)是一种安全协议,目的是为互联网通信,提供安全及数据完整性保障。SSL包含记录层(Record Layer)和传输层,记录层协议确定了传输层数据的封装格式。传输层安全协议使用X.509认证,之后利用非对称加密演算来对通讯方做身份认证,之后交换对称金钥作为会谈金钥(session key)。这个会谈金钥是用来将通讯两方交换的资料做加密,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通信不被攻击者窃听。

SSL在服务器和客户机两端可同时被支持,目前已成为互联网上保密通讯的工业标准。现行的Web浏览器亦普遍将HTTP和SSL相结合,从而实现安全通信。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如:HTTP、FTP、Telnet等等)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。

以下简要介绍SSL协议的工作方式。客户端要收发几个握手信号:
发送一个“ClientHello”消息,内容包括:支持的协议版本,比如TLS1.0版,一个客户端生成的随机数(稍后用户生成“会话密钥”),支持的加密算法(如RSA公钥加密)和支持的压缩算法。
然后收到一个“ServerHello”消息,内容包括:确认使用的加密通信协议版本,比如TLS 1.0版本。如果浏览器与服务器支持的版本不一致,服务器关闭加密通信,一个服务器生成的随机数,稍后用于生成”对话密钥”,确认使用的加密方法,比如RSA公钥加密,服务器证书。
当双方知道了连接参数,客户端与服务器交换证书(依靠被选择的公钥系统)。这些证书通常基于X.509,不过已有草案支持以OpenPGP为基础的证书。
服务器请求客户端公钥。客户端有证书即双向身份认证,没证书时随机生成公钥。
客户端与服务器通过公钥保密协商共同的主私钥(双方随机协商),这通过精心谨慎设计的伪随机数功能实现。结果可能使用Diffie-Hellman交换,或简化的公钥加密,双方各自用私钥解密。所有其他关键数据的加密均使用这个“主密钥”。
数据传输中记录层(Record layer)用于封装更高层的HTTP等协议。记录层数据可以被随意压缩、加密,与消息验证码压缩在一起。每个记录层包都有一个Content-Type段用以记录更上层用的协议。
TLS:IETF(www.ietf.org)将SSL作了标准化,即RFC 2246,并将其称为TLS(Transport Layer Security),其最新版本是RFC 5246,版本1.2。从技术上讲,TLS1.0与SSL3.0的差异非常微小。
TLS利用密钥算法在互联网上提供端点身份认证与通讯保密,其基础是公钥基础设施(public key infrastructure,PKI)。不过在实现的典型例子中,只有网络服务者被可靠身份验证,而其客户端则不一定。这是因为公钥基础设施普遍商业运营,电子签名证书通常需要付费购买。协议的设计在某种程度上能够使主从架构应用程序通讯本身预防窃听、干扰(Tampering)和消息伪造。

TLS包含三个基本阶段:
对等协商支援的密钥算法
基于非对称密钥的信息传输加密和身份认证、基于PKI证书的身份认证
基于对称密钥的数据传输保密
在第一阶段,客户端与服务器协商所用密码算法。 当前广泛实现的算法选择如下:
公钥私钥非对称密钥保密系统:RSA、Diffie-Hellman、DSA;
对称密钥保密系统:RC2、RC4、IDEA、DES、Triple DES、AES以及Camellia;
单向散列函数:MD5、SHA1以及SHA256。(以上均是加密算法,有兴趣请自行google)

TLS/SSL有多样的安全保护措施:
所有的记录层数据均被编号,用于消息验证码校验。
相对而言TLS安全性更高一些,不过两者差别不大。

现在我们看到了,当使用HTTPS,传输过程中数据流始终是被强加密的(举例:facebook:与www.facebook.com采用128位加密技术。该连接采用TLS 1.2。该连接使用AES_128_GCM(迄今为止依然很可靠,极难被破解的加密算法)进行加密和身份验证,并使用ECDHE_ECDSA(迄今为止也很可靠)作为密钥交换机制。twitter:与twitter.com采用128位加密技术。该连接采用TLS 1.2。该连接使用AES_128_GCM进行加密和身份验证,并使用ECDHE_RSA(很可靠)作为密钥交换机制。google plus(所有google服务都一样): 与plus.google.com采用256位加密技术。该连接采用TLS 1.2。该连接使用CHACHA20_POLY1305(也是让人放心的加密算法)进行加密和身份验证,并使用ECDHE_ECDSA(迄今为止也很可靠)作为密钥交换机制。),只有本地浏览器与目标服务器知道内容,谁也没法进行数据的窃取监听。

而且HTTPS还有一个防止中间人攻击和钓鱼的机制,就是数字证书:
服务器设置
要使一网络服务器准备好接受HTTPS连接,管理员必须创建一数字证书,并交由证书颁发机构签名以使浏览器接受。证书颁发机构会验证数字证书持有人和其声明的为同一人。浏览器通常都预装了证书颁发机构的证书,所以他们可以验证该签名。
获得证书
由证书颁发机构签发的证书有免费的,也有每年收费13美元到1500美元不等的。
一个组织也可能有自己的证书颁发机构,尤其是当设置浏览器来访问他们自己的网站时(如,运行在公司或学校局域网内的网站)。他们可以容易地将自己的证书加入浏览器中。
此外,还存在一个人到人的证书颁发机构,CAcert。
作为访问控制
HTTPS也可被用作客户端认证手段来将一些信息限制给合法的用户。要做到这样,管理员通常会给每个用户创建证书(通常包含了用户的名字和电子邮件地址)。这个证书会被放置在浏览器中,并在每次连接到服务器时由服务器检查。
当私钥失密时
证书可在其过期前被吊销,通常情况是该证书的私钥已经失密。较新的浏览器如Google Chrome、Firefox、Opera和运行在Windows Vista上的Internet Explorer都实现了在线证书状态协议(OCSP)以排除这种情形:浏览器将网站提供的证书的序列号通过OCSP发送给证书颁发机构,后者会告诉浏览器证书是否还是有效的。

这样,当假冒的目标服务器试图与本地浏览器取得联系时,浏览器发现假冒的目标服务器没有真实有效的证书,就会拒绝连接并爆出警告。简单来说就是小混混(黑客,GFW,有关部门)拿着伪造的学生证(伪造的数字证书)想进学校,但被门卫(浏览器的证书验证系统)发现了,就没能进去。
对HTTPS的最简单描述:我在家(本地浏览器)把信(信息流)放在上了锁的盒子里(SSL/TLS强加密),再交由邮递员(ISP,路由器等)送到朋友(目标服务器)手中,接收时朋友要出事身份证(数字证书),身份正确才能让朋友接收并打开盒子(解密),路上没有人能够得知信的内容。

最后再来谈谈天朝的网站。那个抄袭facebook的(人人网,就是你!),那个抄袭twitter的(不管你是哪的微博,别再到处看了!),以及百度贴吧(抄袭谁的?),各大BBS(你们怎么与google网上论坛这么像),qq空间,淘宝等电子商务网站,还有信箱们,你们怎么全都不支持HTTPS?好不容易支持一下(没有默认支持HTTPS的墙内网站),还用天朝自产流氓证书CNNIC ROOT,这让我们怎么相信你?
HTTPS严重不利于共匪对广大屁民们进行监控,所以墙内网站几乎没有支持HTTPS的,所以说,墙内的社交平台都是些没骨头的货,去那发言就等于欢迎被盖世太保们监控顺便查水表。
有人曾经因为害怕而不敢翻墙,现在看到了吧?微博和twitter,哪里更危险?

被教育产业化危害的中国人

点击题目下方 一页杂志 一键关注本账号

中国人成长的三个阶段:求学、成家、立业。求学越来越早、成家越来越晚、毕业找不到工作。每一项教育理念和教育实践的背后,都有中国家长的“教育成功学”在作祟。中国人的成长链亦面临教育和社会的双风险。
这一年里,中国年轻人脸上写着的茫然,比任何一个年份都多。
中国人的成长链遭遇到最难堪的一环:毕业即失业。可他们曾经这样被加工:幼儿园、九年义务教育、高考、大学教育。19年的中国式教育目的只有一个:成人、成材、进入社会、有份好工作、有个好前途。

教育没有社会变化快,是社会问题,还是教育问题?

幼教大热、大学生找工作大冷;输入端恐落人后,输出端无人无津;理想远大,现实无情;播下龙种、收获跳蚤——中国社会和经济运行的结构调整,而教育严重错位。

学历、学位、双学位、海位学位、海外留学背景,所学越多、所用越无;私立学校、贵族学校、国际学校、双语学校,花费愈巨,产出愈低。“成长的烦恼”及至最后一刻幡然醒悟,“读书无用”又有新的论调和说法。

中国学生、中国家长迎来了自己的成长焦虑症。中国人成长的三个阶段:求学、成家、立业。其中求学和成家在往两头发展:求学越来越早(幼教),成家越来越迟(晚婚),立业却力不从心——房奴、车奴、卡奴、穷忙,每一样,都埋伏着陷阱。社会复杂、商业险恶。

成长唯艰,于是,家长越加倍投入,希望赢在起跑线、赢在胎教、赢在择校、赢在专业、赢在才艺、赢在外语,可最后都不免要倒在失业的枪口下。

社会和教育之间供需的巨大剥离,使得付出必须越来越多,而收获可能越来越少。家长对教育几乎不叫投入成本,而是不惜血本,但在某一刻,血本无归,啃老族、宅居族的出现,使得家长明白教育投资有风险、“入校”需谨慎。

中国教育的产业化和体制改革从包分配到双向选择到自主择业经历了30年。如果把中国的教育比做一条产品线:高中和高等教育是精英化教学、大众化就业,越来越没压力和包袱,收益最大、风险最小;九年义务教育减免了学费,越来越普及,惠及农村,但优质教育资源的有限性使得择校在城里变成一个红火的收费项目;少年宫、才艺班等课外教育则是家长的另一套因材施教的成长体系,其热度不减反升;早期教育业已市场化,各路品牌纷纷涉水抢摊。

有一次导演张元说,他最反对电视上针对孩童的广告,因为那完全是不对等的诱导。儿童缠着家长购买商品。事实上在教育领域中,有着针对孩子的“二次销售”:第一次是把教育理念灌输给父母,父母再把孩子圈进来。

李阳15年的疯狂英语运动并没有使中国人的英语变得流利起来,反而是新东方等应试教育的项目变成了一个产业。在听闻中学生卖听课笔记居然也演化成创业项目后,一位大学老师在博客上表达了他的愤怒:“我们一直觉得应试教育有问题,也老是嚷嚷要改革,可是改来改去,竟然改出了这个结果:应试教育的受害者们摇身一变,成为了利用应试教育来牟取利益并与这个反人性的教育体制沆瀣一气甚至为虎作伥的害人虫!”

那些中等收入以上的家庭们,则另僻蹊径选择:私立小学、私立中学、国外留学。他们不认同中国教育,也不想让孩子整天做不完作业,所以就用高花费铺就另外一条道路。

但是,他们骨子里仍是希望孩子出人头地、考名校、进入精英阶层,在英语中,专门有一个名词“中国妈妈”,用来指留学陪读的中国妈妈,她们替孩子做所有的决定,什么事都是妈妈说了算。

台湾人亦如此,每个台湾孩子平均学习了三项才艺。这显然都不是“自我选择”,而是“包办教育”。在中国,有人说子女就像父母的财产,不仅父母对其有抚养权,还有支配权和控制权。从出生开始到上学、工作、结婚生子,这其中没一件事是父母不操心的,父母几乎把一辈子都搭进了子女的世界中。

无法成人的几个变量:社会、教育、父母之责,父母首当其冲。

中国人热衷于为教育买单。

医疗花费是不得不,教育花费是心甘情愿。北京东北四环附近的一处楼盘项目,因打出“名校全程进驻”的广告,而掀起了抢购热潮,一时成为楼市低迷时期的亮点。虽然此承诺未能写进购房合同,但家长仍火热咨询,其心态由此可见一斑。

一份名为《孩子的经济成本:转型期的结构变化和优化》的调研报告日前发布,从直接经济成本看,0至16岁孩子的抚养总成本将达到25万元左右;如估算到子女上高等院校的家庭支出,则高达48万元;而估算30岁前的未婚不在读子女的总成本,这一数字为49万元。

一个广州人给儿子从小到大做了笔“预算”,如果按照名牌幼儿园、名牌小学、名牌初中、名牌高中、名牌大学以及出国深造的成长路线,养育孩子需要100万元。其中的教育支出包括学前教育费用1.092万元、幼儿园学费10.2万元、小学教育费18.6万元(含3万元赞助费)、中学教育费用16.8万元(含3万元赞助费)、大学教育费用4万元和留学教育费用30万元,总计超过80万元。

追求“教育GDP”的盲目冲动,使得政府、教育机构和市场形成一种合谋。教育学者杨东平说:“高教管理追求的就是那些数字和政绩。有人称之为‘教育GDP’,就是规模、速度、科研成果、博士点这些指标化的东西,大家都拼命追求高指标。”

这似乎让家长和学生松了一口气,终于不用千军万马过独木桥了,上大学不再是一个人生的分山岭。但也正因如此,高考改变命运的时代一去不复返,大学毕业将迎来一个险峻的时期。

“就业难和高校扩招没有因果关系,甚至就整个国民受高等教育的比率,以及经济社会发展的总体需求而言,我们的大学毕业生不是多了,而是少了。”一位持这种论调的专家说,“大学以面向未来为使命。这并不意味着大学和市场脱节,而是要求大学尽最大努力去揭示那些左右市场的因素和力量,为人们的未来生活提供更好的参考意见,或者创造更好的条件。”

公众对于教育高成本与就业难的双重无奈现象无能为力,这一恶性循环的影响还将继续。

中国家长的教育大纲是:软教育、硬投入、争夺教育资源。一般在9月份入学前的“活动期”,不长家长会开始他们最为忙碌的日子。一位家长因为孩子的入学年龄只差几天,而卡在那里入不了学,她不得不为进入一家实验小学发愁:“中间人已经找好关系了,学校也一直答应着,但就是没有下文。”

既便是在北京偏远的郊区,民营性质的幼儿园也四处开花,但仍赶不上入园的速度,稍微好点的幼儿园就爆满。几千元的入园费对于家长来讲,是一笔不得不给的投入。在义务教育之前的阶段,教育花费在利益驱动下,是一个不小的市场。

但中国家长的教育大纲实在规划得不怎么样,包办孩子的教育战略,到为孩子选择一个他并不喜欢的大学专业后,终于出现了分裂:许多人在毕业时放弃专业改行了。

《家长是最好的老师》、《哈佛女孩刘婷》、《100个中国孩子的成功报告》,乃至新概念作文、奥数竞赛、国际才艺表演,每一项教育理念和教育实践的背后,都有中国家长的“教育成功学”在作祟。

望子成龙的中国家长播种龙种、收获的却可能是跳蚤。

那些不堪忍受教育体制的人,成为教育体制的外逃者,其中不乏成绩优秀的学生。清华大学博士王垠就是其中的一个,他赞赏发明家EDWIN H. LAND的一篇演讲《伟大的年代》:“在这个年代,在这个国家(美国),是有机会发展人的智力、文化、精神方面的潜能的,而这是以前在我们国家历史上从未出现过的……相信每个年轻人都是不同的,就像每个人的指纹都不同一样,他对解决未解决的问题能提出一个很好的又与众不同的解决方案。”

LAND的演讲常常令人热血沸腾,他指向富有创造力的大学对年轻人的态度:“我认可他(年轻人)仅仅是个伟大的人,而非天才,他不可能跨越他专长的领域。他不会想到用几百年的时间缩短问题的解决办法。他不会突然说人民大众就是力量,那是天才做的事情。但是在他自己的领域内他会让事物发展并繁盛;他会因为在他自己的领域内帮助别人变得快乐。在这个领域内如果他没有取得成功,他会增加不应该被增加的东西。”

“自我实现”在中国的受教育者那里只是一个迷梦。他们只有在成人的那一刻起才拥有自我实现的愿望,在此之前,他们被家长包办、然后又被学校包办。这对他们而言是不得不走的一段弯路。

“无法成人”的“成人礼”是一张大学毕业证书,此后,他们被抛弃到自我奋斗的历程之中。就业和谋生只是其中小小的一页,当它翻过之后,人们才会明白,中国人的教育大纲需要重修了,而不仅仅是增加国学教育和艺术教育那么简单。

无良教授的"无良"论

北大副校长刘伟:堵车是城市繁荣的标志。2013年10月,北大副校长刘伟在接受记者采访时说道:“我把堵车看成是一个城市繁荣的标志,是一件值得欣喜的事情。如果一个城市没有堵车,那它的经济也可能凋零衰败。”此言论一出,四方哗然!

清华教授文国玮:外来人口想要落户北京应考试。2013年10月,北京晚报报道称,清华大学建筑学院教授、城市规划专家文国玮表示:“北京是全国人民的,但不是全国人民都来居住、工作的地方”,城市的人需要遵守城市的行为准则,外来人口想要取得北京户口,可以考虑进行考试审核。这个考试分为几项,包括文化程度的考试、法律知识的考试、工作能力的考核等等。来北京工作,也可以参照国际经验,要有“工作许可制度”。各位北漂,你怎么看?(图片来源:中新社)

中国人民大学教授王琪延:中国可实行工作四天休息三天。2013年8月,以研究休闲经济著称的中国人民大学教授王琪延表示:北欧一些国家,人们工作四天休息三天。依据我国现在的经济增长速度,哪怕经济增速低一点儿,每年能保持6%的增速,到2030年,我国就可实行工作四天休息三天的作息制度。这番言论引发网友的大讨论,悲观的网友哀叹:这什么时候才能实现啊。犀利的网友评论:还谈上四休三,先把两天休息制落实好再说吧。

清华大学易延友:强奸陪酒女要比强奸良家妇女的危害小。2013年7月16日,清华大学易延友实名微博评价李某某案:强奸陪酒女比强奸良家妇女危害性要小。此言一出,立即引来网友热议。随即,针对网友质疑,易延友在其微博表示,关于最后一句,修正如下:强奸良家妇女比强奸陪酒女、陪舞女、三陪女、妓女危害性要大。此言一出,网友声讨一片。其中,呼吁将易延友清出法律界、学术界的声音大有人在。恃才傲物的易教授,虽然是率性而为、不加掩饰,但是说话也要讲究方式啊。图为大陆一次扫黄行动。(图片来源:中新网)

北京师范大学教授董藩:高学历者的贫穷意味着耻辱和失败。2011年4月4日,北京师范大学教授董藩发微博称:“当你40岁时,没有4,000万身家不要来见我,也别说是我的学生,高学历的贫穷意味着耻辱和失败。”此言一出,立刻在微博上引起巨大争议,多数网民对此持批评态度,但是地产大佬,如任志强等表示理解。此外,董藩的“雷人”言论还有很多,包括北京的交通比较堵恰恰是因为北京的房价太低了;中国的房价真的不高;25年后北京的房价将达到80万元每平方米……这些是否是你心目中的“雷语”?图为北京一处楼盘排队的人们。

中国人民大学教授张惟英:北京不太需要这些人。在2005年的政协会议上,张惟英提出了“关于建立人口准入制度”的立法建议。她阐述建立这项制度的理由包括:“(外地人)素质比较低,长期没有工作后,往往会铤而走险,给社会治安带来不安定因素。北京城市发展并不太需要这些人”。且不说该言论掀起的轩然大波,连张女士本人也深陷舆论泥淖。图为北京一处公交站等车的人们,他们大多都是外地人。