HTTP——學習筆記（5）

咱們通訊的過程當中會有哪些風險？：

1.HTTP不會對通訊方的身份進行確認

　　由於HTTP協議中的請求和相應不會對通訊方進行確認，就是無論發送或接收信息的人是否是以前的人，都不妨礙信息的發送或接收。

　　缺點：1.沒法肯定請求發送至目標的WEB服務器是不是按真實意圖返回響應的那臺服務區。有多是已假裝的WEB服務器

　　　　　2.沒法肯定響應返回到的客戶端是不是按真是意圖接受響應的那個客戶端。有多是已假裝的客戶端

　　　　　3.沒法肯定正在通訊的對方是否具有訪問權限。由於某些WEB服務器上保存着重要的信息，只想發給特定用戶通訊的權限

　　　　　4.沒法斷定請求是來自何方，出自誰手

　　　　　5.即便是無心義的請求也會照單全收。沒法阻止海量請求下的DOS攻擊（Denial of Service，拒絕服務攻擊）

2.接受到的內容可能有誤

　　HTTP中沒有任何辦法確認發出的請求響應和接受到的請求響應是先後相同的，其在發送的過程當中有可能會發生被篡改，像這樣，請求或響應在傳輸途中，遭攻擊者攔截並篡改內容的攻擊稱爲中間人攻擊

 

http中信息的安全性怎樣提升的？：

通訊加密：

　　經過SSL或TLS組合使用，加密HTTP的通訊內容，用SSL組合使用的HTTP被稱爲HTTPS（超文本傳輸安全協議）或HTTP over SSL。注意是將通訊線路加密

內容加密：

　　HTTP協議中沒有加密機制，因此也能夠對HTTP協議傳輸的內容自己加密，即把HTTP報文裏所含的內容進行加密處理，客戶端須要對HTTP報文進行加密處理後再發送。採用這種加密機制必需要求客戶端和服務器同時具有加密和解密機制。注意因爲這種方式只是對內容進行加密，因此仍有被篡改的風險。

 

SSL是怎樣保證通訊安全的？：

SSL不只提供加密處理，還使用了一種證書手段，可用於肯定方

證書由值得信任的第三方機構頒發，用以證實服務器和客戶端是實際存在的。另外，僞造證書從技術角度來講是異常困難的一件事。因此只要可以確認通訊方（服務器或客戶端）持有的證書，便可判斷通訊方的真實意圖。

服務器端使用證書能夠減小客戶端的我的信息泄漏的危險性

客戶端持有證書能夠完成我的身份的確認，也可用於對WEB網站的認證環節

 

怎樣防止通訊內容在傳輸過程當中被篡改？：

MD5和SHA-1等散列值校驗的方法

　　原理：提供文件下載服務的WEB網站提供相應的以PGP（完美隱私）建立的數字簽名及MD5算法生成的散列值。PGP是用來證實建立文件的數字簽名，MD5是由單向函數生成的散列值。不論使用那一種方法，都須要操縱客戶端的用戶本人親自檢查驗證下載的文件是否就是原來服務器上的文件，瀏覽器沒法自動幫用戶檢查。

　　缺點：用這種方法也不能百分百保證結果正確，由於PGP和MD5自己也有可能被改寫