资讯专栏INFORMATION COLUMN

谈谈对http和http的理解

XGBCCC / 977人阅读

摘要:是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。最关键的,证书的信用链体系并不安全,特别是在某些国家可以控制根证书的情况下,中间人攻击一样可行。

一、前提背景

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果存在攻击情况,将会泄漏其中的信息,比如信用卡密码等等。
安全套接字层超文本传输协议HTTPS,就是很好解决了http存在的问题,实现对传递中信息的加密,在HTTP的基础上加入了SSL协议,SS依靠证L书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

二、http和https的概念

HTTP是一种广泛使用的网络传输协议,是客户端浏览器或其他程序与Web服务器之间的应用层通信协议或者标准(tcp),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。https是http的加密版,是以安全为目标的HTTP,在http中加入SSL,安全基础是SSL。https协议的作用有俩种:一是建立安全信息通道,
保证数据传输的安全性;另外一种是确认网站的真实性。

三、http和https的区别

1、https需要到ca申请证书,一般免费证书比较少,所以会需要一定的费用
2、http是超文本传输协议,信息是明文传输,而https是具有安全性的ssl传输协议
3、由于http和https用的是完全俩种不同的连接方式,所以端口也有所不同,http的端口是80,https是用43
4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

四、HTTPs工作原理

客户端在使用HTTPS与web服务器进行通信时,有如下步骤:
1、客户端用https的url访问web服务器,要求与服务器建立SSL连接。
2、web服务器收到客户端的请求后,将网站证书信息(证书包含公钥)发送一份给客户端
3、客户端浏览器跟网站服务器协商ssl信息加密的等级
4、客户端的浏览器会根据双方的安全等级,建立会话密钥,用公钥加密会话密钥,并发送给web服务器
5、web服务器利用自己的私钥将会话密钥解密出来
6、web服务器利用会话密钥加密信息与客户端通信

五、HTTPS的优点

  尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击,但HTTPS仍是现行架构下最安全的解决方案,主要有以下几个好处:

  (1)使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;

  (2)HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。

  (3)HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

  (4)谷歌曾在2014年8月份调整搜索引擎算法,并称“比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”。

六、HTTPS的缺点

  虽然说HTTPS有很大的优势,但其相对来说,还是存在不足之处的:

  (1)HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电;

  (2)HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;

  (3)SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。

  (4)SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。

  (5)HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。

七、http切换到HTTPS

  如果需要将网站从http切换到https到底该如何实现呢?

这里需要将页面中所有的链接,例如js,css,图片等等链接都由http改为https。例如:http://www.baidu.com改为https://www.baidu.com

  BTW,这里虽然将http切换为了https,还是建议保留http。所以我们在切换的时候可以做http和https的兼容,具体实现方式是,去掉页面链接中的http头部,这样可以自动匹配http头和https头。例如:将http://www.baidu.com改为//www...。然后当用户从http的入口进入访问页面时,页面就是http,如果用户是从https的入口进入访问页面,页面即使https的。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/40071.html

相关文章

  • 金三银四,2019大厂Android高级工程师面试题整理

    摘要:原文地址游客前言金三银四,很多同学心里大概都准备着年后找工作或者跳槽。最近有很多同学都在交流群里求大厂面试题。 最近整理了一波面试题,包括安卓JAVA方面的,目前大厂还是以安卓源码,算法,以及数据结构为主,有一些中小型公司也会问到混合开发的知识,至于我为什么倾向于混合开发,我的一句话就是走上编程之路,将来你要学不仅仅是这些,丰富自己方能与世接轨,做好全栈的装备。 原文地址:游客kutd...

    tracymac7 评论0 收藏0
  • 网络与安全

    摘要:面试网络了解及网络基础对端传输详解与攻防实战本文从属于笔者的信息安全实战中渗透测试实战系列文章。建议先阅读下的网络安全基础。然而,该攻击方式并不为大家所熟知,很多网站都有的安全漏洞。 面试 -- 网络 HTTP 现在面试门槛越来越高,很多开发者对于网络知识这块了解的不是很多,遇到这些面试题会手足无措。本篇文章知识主要集中在 HTTP 这块。文中知识来自 《图解 HTTP》与维基百科,若...

    Integ 评论0 收藏0
  • 从async await 报错Unexpected identifier 谈谈上下文理解

    摘要:解决办法,将箭头函数声明为函数,代码如下运行结果至此,问题解决。必须在函数的上下文中。对程序而言有了上下文调用帧才有一个完整的逻辑过程。 先简单介绍下async await:   async/await是ES6推出的异步处理方案,目的也很明确:更好的实现异步编程。 详细见阮大神 ES6入门 现在说说实践中遇到的问题:使用await报错Unexpected identifier 先...

    Bryan 评论0 收藏0
  • 从一滴水说起,谈谈CSS形状生成思路

    摘要:水是生命之源生产之要生态之基。兴水利除水害事关人类生存社会进步历来是治国安邦的大事。附个生成器,虽然不能生成本文的水滴。 水是生命之源、生产之要、生态之基。兴水利、除水害,事关人类生存、社会进步,历来是治国安邦的大事。巴拉巴拉~不扯淡了, 来看看下面这张图,额,为了扣题,就管她叫水滴吧(虽然是倒的),从这开始,让我们用css来生成她~ showImg(https://segmentfa...

    gotham 评论0 收藏0

发表评论

0条评论

XGBCCC

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<