大話《圖解HTTP》學習筆記 7期：確保Web安全的HTTPS

在 HTTP 協議中有可能存在信息竊聽或身份假裝等安全問題。使用 HTTPS 通訊機制能夠有效地防止這些問題。

1、HTTP缺點

事物皆有兩面，HTTP也有其不足之處：

1）通訊使用明文，不加密，內容可能會被竊聽；
2）不驗證通訊方的身份，所以有可能遭遇假裝；
3）沒法證實報文的完整性，因此有可能已遭篡改。

一、通訊使用明文可能會被竊聽 

因爲 HTTP 自己不具有加密的功能，因此也沒法作到對通訊總體（使用 HTTP 協議通訊的請求和響應的內容）進行加密。即，HTTP 報文使用明文（指未通過加密的報文）方式發送。

1）TCP/IP 是可能被竊聽的網絡 

按TCP/IP協議族的工做機制，通訊內容在全部的通訊線路上都有可能遭到窺視。通過加密處理的通訊，也會被窺視到通訊內容，這點和未加密的通訊是同樣的。只是說若是通訊加密，有可能讓人沒法破解報文信息的含義，可是加密處理後的報文信息自己仍是會被看到的。
使用抓包工具能夠獲取HTTP協議的請求和響應的內容，並對其進行解析。例如使用GET方法發送請求、響應返回了200 OK，查看HTTP響應報文的所有內容等信息。

2）加密處理防止被竊聽 

如何防止竊聽保護信息，最普及的就是加密技術。主要有通訊的加密和內容的加密兩種。

通訊的加密： HTTP經過和SSL(Secure Socket Layer，安全套接層)或TLS(Transport Layer Security，安全層傳輸協議)的組合使用，加密HTTP的通訊內容。即用SSL創建安全通訊線路，而後再在這條線路上進行HTTP通訊。與SSL組合使用的HTTP被稱之爲HTTPS(HTTP Secure，超文本傳輸安全協議)或HTTPover SSL。

內容的加密： 這是一種將參與通訊的內容自己加密的方式。即把HTTP報文裏所含的內容進行加密處理，在這種狀況下，客戶端須要對HTTP報文進行加密處理後再發送請求。爲了作到有效的內容加密，客戶端和服務器應同時具有加密和解密機制。這種方法不一樣於通訊加密，內容仍有可能被篡改。

二、不驗證通訊方的身份就可能遭遇假裝

HTTP協議中的請求和響應不會對通訊方進行確認，即存在着如下隱患：
1）沒法肯定請求發送至目標的Web服務器是否按真實意圖返回響應的那臺服務器。有多是假裝的服務器；
 
2）沒法肯定響應返回到的客戶端是不是按真實意圖接收響應的那個客戶端。有多是已假裝的客戶端； 

3）沒法肯定正在通訊的對方是否具有訪問權限。由於某些Web服務器上保存着重要信息，只想發給特定用戶通訊的權限；
 
4）沒法斷定請求是來自何方、出自誰手； 

5）即便是無心義的請求也會照單全收，沒法阻止海量請求下的DOS攻擊(拒絕服務攻擊)。
雖然HTTP協議沒法肯定通訊方，可是用SSL則能夠。SSL不只提供加密處理，還可使用一種稱爲證書的手段，能夠用於肯定對方。證書由值得信任的第三方機構頒發，用以證實服務器和客戶端是實際存在的。只要肯定通訊方持有的證書，則可判斷通訊方的真實意圖。另外，客戶端持有證書便可完成我的身份的確認，也可用於Web網站的認證環節。

三、沒法證實報文完整性，則有可能被篡改 

完整性是指信息的準確度，若是沒法證實完整性，則沒法判斷信息是否準確。所以有可能出現中間人攻擊篡改後，服務器和客戶端仍不知情。
雖然有使用HTTP協議肯定報文完整性的方法，可是這並不便捷可靠。爲了有效防止其中弊端，有必要使用HTTPS。SSL提供認證和加密處理及摘要功能。

2、HTTP+加密+認證+完整性保護=HTTPS

HTTP 加上加密處理和認證以及完整性保護後便是 HTTPS。

HTTPS並非應用層的一種新協議，而是在HTTP通訊接口部分用SSL和TLS協議代替。所以，HTTP再也不與TCP通訊，而是先和SSL通訊，再由SSL和TCP通訊。所以，HTTPS就是身披着SSL協議這層外殼的HTTP。SSL協議是普遍使用的網絡安全技術。
在採用 SSL 後，HTTP 就擁有了 HTTPS 的加密、證書和完整性保護這些功能。SSL 採用一種叫作公開密鑰加密（Public-k ey cry ptography ）的加密處理方式。

HTTPS採用共享密鑰加密和公開密鑰加密二者並用的混合加密機制。若密鑰可以實現安全交換，那麼有可能會考慮僅使用公開密鑰加密來通訊。可是公開密鑰加密與共享密鑰加密相比，其處理速度要慢。
因此應充分利用二者各自的優點，將多種方法組合起來用於通訊。在交換密鑰環節使用公開密鑰加密方式，以後的創建通訊交換報文階段則使用共享密鑰加密方式。

若是你以爲這篇文章對你有所幫助，那就順便點個贊吧，點點關注不迷路~

黑芝麻哇，白芝麻發，黑芝麻白芝麻哇發哈！

前端哇發哈