网页设计与网站建设从入门到精通,重庆网站建设网站,wordpress xiu主题,电商平台HTTP缺点
通信使用明文#xff08;不加密#xff09;#xff0c;内容可能会被窃听
不验证通信方的身份#xff0c;可能遭遇伪装
无法证明报文的完整性#xff0c;所以有可能遭篡改
一、通信使用明文#xff08;不加密#xff09;#xff0c;内容可能会被窃听
TCP/…HTTP缺点
通信使用明文不加密内容可能会被窃听
不验证通信方的身份可能遭遇伪装
无法证明报文的完整性所以有可能遭篡改
一、通信使用明文不加密内容可能会被窃听
TCP/IP是可能被窃听的网络
1、http协议中没有加密机制但可以通过SSLSecure Socket Layer安全套接层和TLSTranslate Layer Secure安全传输层协议组合使用加密HTTP的通信内容
2、与SSL组合使用的HTTP被称为HTTPS
加密处理防止窃听
1、通信的加密HTTPS
2、内容的加密客户端对HTTP报文进行加密处理后再发送请求前提要求客户端和服务器同时具备加密解密机制
二、不验证通信方的身份可能遭遇伪装
HTTP协议通信时任何人都可以发起请求服务器只要接收请求不管对方是谁都会返回响应不确认通信方
查明对手的证书
HTTP协议无法确定通信方但使用SSL后不仅提供了加密手段还使用了证书手段用于确认通信方
证书由第三方机构颁发值得信任的用以证明服务器和客户端是实际存在的只要能够确认通信方持有的证书即可判断通信方的真实意图
三、无法证明报文的完整性所以有可能遭篡改
完整性是指信息的准确度
接收到的内容可能有误在请求或响应送出之后直到对方接收之前的这段时间内即使请求或响应的内容遭到篡改也没办法获悉中途可能被篡改 在请求或响应的传输途中遭攻击者拦截并篡改内容的攻击称为中间人攻击攻击人会随意篡改请求和响应而让客户端和服务器之间的通信看上去仍旧是正常的
防止篡改
有使用HTTP协议确定报文完整性的方法但并不快捷可靠
常用的是MD5和SHA-1等散列值校验的方法以及用来确认文件的数字签名方法
提供文件下载服务的Web网站也会提供相应的以PGPPretty Good Privacy创建的数字签名及MD5算法生成的散列值。
PGP是用来证明拆跟你讲文件的数字签名
MD5是由单向函数生成的散列值
PGP和MD5都有被改写的可能都有弊端
所以要用HTTPS HTTP加密认证完整性保护HTTPS
用https通信时https://左边会有一个
https是身披SSL外壳的HTTP之前HTTP直接和TCP通信使用之后先和SSL通信再由SSL和TCP通信
HTTPS不是应用层的一种新协议只是HTTP通信接口部分用SSL和TLS协议代替而已
SSL是当今应用最为广泛的网络安全技术
SSL采用的是公开密钥加密的加密方式 -------------------------------------加密两种方式对称和非对称-----------------------------------------------------
加密方式
①对称密钥加密加密和解密同用一个密钥也叫共享密钥加密发送密钥可能被窃听不发送就无法解密有困难
②使用两把密钥的公开密钥加密公开密钥加密很好的解决了共享密钥加密的困难使用非对称的密钥
非对称密钥一把公开密钥一把私有密钥公开密钥和私有密钥是配对的一套密钥公开密钥可以发给任何人
公开密钥加密原理发送密文的一方使用对方的公开密钥进行加密处理对方收到被加密信息后再使用自己的私有密钥进行解密
---------------------------------------------------------------------------------------------------------------------------------
HTTPS采用的是混合加密机制共享密钥加密和公开密钥加密两者并用的混合加密机制不单用公开密钥加密的原因是处理速度太慢所以利用各自优势结合起来
HTTPS原理交换密钥环节使用公开密钥加密方式之后的建立通信交换报文阶段则使用共享密钥加密方式
