圖解HTTP(三)

第七章 確保Web安全的HTTPS
一、HTTP的不足
通訊使用明文(不加密),內容可能被監聽
不驗證通訊方的身份,所以可能遭遇假裝
沒法驗證報文的完整性,因此有可能已遭篡改
二、通訊加密
1 通訊的加密
2 內容的加密
三、經過查看對手的證書(SSL支持,第三方提供),來驗證通訊方
四、HTTP經常使用MD5和SHA-1等散列值校驗方法來確認文件的數字簽名,可是這須要用戶親自檢查,瀏覽器沒法自動幫用戶檢查。SSL提供認證和加密處理及摘要功能。
五、HTTP + 加密 + 認證 + 完整性保護 = HTTPS
六、共享祕鑰加密(加密和解密用同一把祕鑰)
七、公開祕鑰加密(發送祕文的一方利用對方的公開祕鑰進行加密處理,對方收到被加密的信息後,利用本身的私有祕鑰進行解密)
八、HTTPS採用混合加密機制(在交換祕鑰環節使用公開祕鑰加密方式,以後的通訊交換報文階段則使用共享祕鑰加密方式)
九、數字證書的業務流程:首先,服務器的運營人員向數字證書認證機構提出公開祕鑰的申請;數字證書機構在判明提出申請者的身份以後,會對已申請的公開祕鑰作數字簽名;而後,分配這個已經簽名的公開祕鑰,並將該公開祕鑰放入公鑰證書後綁定在一塊兒;服務器會將這份公鑰證書發送給客戶端,以進行公開祕鑰加密方式通訊;客戶端可以使用數字證書認證機構頒發的公開祕鑰,對那張證書上的數字簽名進行驗證,認證經過,證實服務器的公開祕鑰是值得信賴的。
 
第八章 確認訪問用戶身份的認證
一、認證,只有登錄者本人才知道的信息
1 密碼:只有本人知道的字符串信息
2 動態令牌:僅限本人持有的設備內顯示的一次性密碼
3 數字證書:僅限本人(終端)持有的信息
4 生物認證: 指紋或者虹膜等本人的生理信息
5 IC卡等:僅限本人持有的信息
二、HTTP/1.1使用的認證方式
BASIC認證(基本認證,明文)
DIGEST認證(摘要認證)
SSL客戶端認證
FormBase認證(基於表單認證)
三、基於表單驗證,會涉及Session管理及Cookie應用
 
第九章 基於HTTP的功能追加協議
一、消除HTTP瓶頸的SPDY,旨在解決HTTP的性能瓶頸,縮短Web頁面的加載時間
二、解決瓶頸的方法
1 Ajax 異步JS達到局部刷新,傳輸數據變少
2 Comet 一旦服務器有內容更新了,Comet不會讓請求等待,直接返回響應,若是沒有更新,Comet會將響應置於掛起狀態。這是一種延遲應答,模擬實現服務器端向客戶端推送的功能。
三、SPDY沒有徹底改寫HTTP,而是在TCP/IP的應用層與運輸層之間經過新加會話層的形式運做。同時。考慮到安全性,規定通訊中使用SSL。使用SPDY得到如下功能:
多路複用,單一TCP鏈接,能夠無限制處理多個HTTP請求
賦予請求優先級
壓縮HTTP首部
推送功能,支持服務器主動向客戶端推進數據的功能
服務器提示功能,服務器能夠主動提示客戶端請求所需的資源,在資源已緩存等狀況下,能夠避免發送沒必要要的請求
四、使用瀏覽器進行雙全工通訊的WebSocket,WebSocket是創建在HTTP基礎上的協議,所以鏈接的發起方還是客戶端,一旦創建通訊鏈接,不論服務器或者客戶端,任意一方均可直接向對方發送報文。(客戶端發送HTTP鏈接握手請求,在Upgrade字段設置爲WebSocket協議,通知服務器更新鏈接協議)
五、期盼已久的HTTP/2.0(7項技術討論)
1 多路複用
2 TLS義務化
3 協商
4 客戶端拉拽 服務端推送
5 壓縮
6 流量控制
7 WebSocket
 
第十章 構建Web內容的技術
一、HTML
二、CGI 指Web服務器在接收到客戶端發送來的請求後轉給程序的一組機制。在CGI的做用下,程序會對請求內容做出相應的動做。
 
第十一章 Web的攻擊技術
一、爲服務器爲目標的主動攻擊,指攻擊者經過直接訪問Web應用,把攻擊代碼傳入的攻擊方式。
典型的攻擊方式有,SQL注入攻擊和OS命令注入攻擊
二、以服務器爲目標的被動攻擊,指利用圈套策略執行攻擊代碼的攻擊模式,在被攻擊工程中,攻擊者不直接對目標Web應用訪問發起攻擊。
典型的攻擊方式有,跨站腳本攻擊和跨站請求僞造
相關文章
相關標籤/搜索