HTTP vs HTTPS: 网络安全的重要转变

这篇具有很好参考价值的文章主要介绍了HTTP vs HTTPS: 网络安全的重要转变。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、HTTP的缺点

HTTP中确认访问用户身份的认证

  • 通信使用明文(不加密),内容可能会被窃听
  • 不验证通信方的身份,因此有可能遭遇伪装
  • 无法证明报文的完整性,所以有可能已遭篡改

这些不足是未加密协议通常存在的一类问题

1.1 通信使用明文可能会被窃听

HTTP协议属于“明文传输协议”,不具备加密的功能。HTTP报文以“明文”的方式在网络中传输数据

按 TCP/IP 协议族的工作机制,通信内容在所有的通信线路上都有可能遭到窥视。所谓互联网,是由能连通到全世界的网络组成的。无论世界哪个 角落的服务器在和客户端通信时,在此通信线路上的某些网络设 备、光缆、计算机等都不可能是个人的私有物,所以不排除某个 环节中会遭到恶意窥视行为。因此,通信使用明文可能会被窃听,是一个比较大的缺点。

HTTP vs HTTPS: 网络安全的重要转变,计算机网络,http,https,web安全

在如何防止窃听保护信息的几种对策中,最为普及的就是加密技术。加密对象主要有:

  • 通信线路加密。HTTP 协议通过和 SSL(Secure Socket Layer,安全套接层)或 TLS(Transport Layer Security,安全层传输协议)的组合使用, 加密 HTTP 的通信内容。用 SSL建立安全通信线路之后,就可以在这条线路上进行 HTTP 通信了。
  • 通信内容加密。对HTTP 报文里所含的内容进行加密处理。不同于SSL/TLS,这种方式仍有内容被篡改的风险。

1.2 不验证通信方的身份就可能遭遇伪装

HTTP 协议中的请求和响应不会对通信方进行确认。在 HTTP 协议通信时,由于不存在确认通信方的处理步骤,任何人都可以发起请求。另外,服务器只要接收到请求,不管对方是谁都会返回一个响应(但也仅限于发送端的 IP 地址和端口号没 有被 Web 服务器设定限制访问的前提下)。

因此,通常会存在以下各种隐患:

  • 无法确定请求发送至目标的 Web 服务器是否是按真实意图返回响应的那台服务器。
  • 无法确定响应返回到的客户端是否是按真实意图接收响应的那个客户端。
  • 无法确定正在通信的对方是否具备访问权限。因为某些 Web 服务器上保存着重要的信息,只想发给特定用户通信的权限。
  • 由于服务器会对任何人的请求返回一个相应,服务器无法阻止海量下的DOS攻击(Denial of Service,拒绝服务攻击)

在如何验证通信方的对策中,HTTPS使用了一种被称为数字证书的手段,可用于确定方。

数字证书认证的主要目的是确保通信方的身份和通信的机密性,从而防止中间人攻击和数据篡改。而HTTP协议的认证方式(比如Basic认证和Digest认证)的主要目的是对用户进行简单身份验证,验证用户是否有权限访问受保护的资源。

1.3 无法证明报文完整性,可能已遭篡改

HTTP 协议无法证明通信的报文完整性。在请求报文或响应报文传输途中,报文可能遭攻击者拦截并篡改内容。这种攻击称为中间人攻击(Man-in-the-Middle attack,MITM)。

虽然有使用 HTTP 协议确定报文完整性的方法,但事实上并不便捷、可靠。其中常用的是 MD5 和 SHA-1 等散列值校验的方法, 以及用来确认文件的数字签名方法。这些方法也依然无法百分百保证确认结果正确。因为 PGP 和 MD5 本身被改写的话,用户是没有办法意识到的。

为了有效防止这些弊端,有必要使用 HTTPS。SSL提供认证和加密处理及摘要功能。仅靠 HTTP 确保完整性是非常困难的,因此 通过和其他协议组合使用来实现这个目标。

二、 HTTP+ 加密 + 认证 + 完整性保护 =HTTPS

2.1 HTTPS 是身披 SSL 外壳的 HTTP

为了统一解决HTTP协议的这些问题,需要在 HTTP 上再加入加密处理和认证等机制。我们把添加了加密及认证机制的 HTTP 称为 HTTPS(HTTP Secure)。

实际上,HTTPS 并非是应用层的一种新协议,只是将 HTTP 通信接口部分用 SSL/TLS协议代替而已。通常,HTTP 直接和 TCP 通信。而HTTPS先和 SSL通 信,再由 SSL和 TCP 通信。

HTTP vs HTTPS: 网络安全的重要转变,计算机网络,http,https,web安全

需要注意的是,SSL是独立于 HTTP 的协议。应用层的SMTP 和 Telnet 等其他协议也可配合 SSL协议使用。

2.2 HTTPS采用混合加密机制

HTTPS 采用共享密钥加密和公开密钥加密两者并用的混合加密机制。若密钥能够实现安全交换,那么有可能会考虑仅使用公开密钥加密来通信。但是公开密钥加密与共享密钥加密相比,其处理速度要慢。

所以应充分利用两者各自的优势,将多种方法组合起来用于通信。在交换密钥环节使用公开密钥加密方式,之后的建立通信交换报文阶段则使用共享密钥加密方式。

HTTP vs HTTPS: 网络安全的重要转变,计算机网络,http,https,web安全

但是,公开密钥加密方式还是存在一些问题的。那就是无法证明公开密钥本身就是货真价实的公开密钥。为了解决上述问题,可以使用由数字证书认证机构(CA,Certificate Authority)和其相关机关颁发的公开密钥证书。

2.3 HTTPS存在的问题

既然 HTTPS 那么安全可靠,那为何所有的 Web 网站不一直使用 HTTPS ?

  • 与纯文本通信相比,加密通信会消耗更多的 CPU 及内存资源,导致处理速度变慢。如果每次通信都加密,会消耗相当多的资源,平 摊到一台计算机上时,能够处理的请求数量必定也会随之减少。

  • SLL通信部分要消耗网络资源并对通信进行处理,导致通信慢。和使用 HTTP 相比,网络负载可能会变慢 2 到 100 倍。

  • 节约购买证书的开销也是原因之一。要进行 HTTPS 通信,证书是必不可少的。而使用的证书必须向认 证机构(CA)购买。证书价格可能会根据不同的认证机构略有不 同。文章来源地址https://www.toymoban.com/news/detail-610452.html

到了这里,关于HTTP vs HTTPS: 网络安全的重要转变的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【计算机网络】网络安全,HTTP协议,同源策略,cors,jsonp

    ❤️ Author: 老九 ☕️ 个人博客:老九的CSDN博客 🙏 个人名言:不可控之事 乐观面对 😍 系列专栏: 会生成一个公钥一个私钥,我现在有一个东西,我用公钥给它加密,公钥可以公开给任何一个人,只有对应的私钥可以解密;如果用对称加密最重要的坏处就是需要在网络上

    2024年02月07日
    浏览(51)
  • 在网络安全、爬虫和HTTP协议中的重要性和应用

    1. Socks5代理:保障多协议安全传输 Socks5代理是一种功能强大的代理协议,支持多种网络协议,包括HTTP、HTTPS和FTP。相比之下,Socks5代理提供了更高的安全性和功能性,包括: 多协议支持: Socks5代理不仅支持HTTP协议,还可以应用于FTP等多种协议,为不同应用场景提供全面支持

    2024年02月06日
    浏览(43)
  • HTTP和HTTPS:网络安全的基础

    在如今的数字时代,我们对互联网的依赖程度变得越来越高,无论是在日常生活中还是在商业领域。几乎每个人都会花费大量的时间在网上浏览网站、发送电子邮件、进行在线购物和与他人进行互联网通信。然而,在享受互联网的便利性的同时,我们也面临着各种网络威胁和

    2024年02月01日
    浏览(50)
  • HTTP与HTTPS:网络通信的安全卫士

    目录 引言 1. HTTP(Hypertext Transfer Protocol) 1.1HTTP的基本概念 1.2 HTTP的工作原理 1.3 HTTP请求与响应 1.4HTTP特点 1.4.1 无状态性 1.4.2 明文传输 1.4.3 简单快速 1.5 HTTP的安全性 2. HTTPS(Hypertext Transfer Protocol Secure) 2.1HTTPS:为网络通信加上安全锁 2.2HTTPS相较于HTTP有以下显著特点 2.2.1 数

    2024年01月20日
    浏览(58)
  • 【网络技术】【Kali Linux】Wireshark嗅探(九)安全HTTP协议(HTTPS协议)

    本次实验是基于之前的实验:Wireshark嗅探(七)(HTTP协议)进行的。本次实验使用Wireshark流量分析工具进行网络嗅探,旨在初步了解安全的HTTP协议(HTTPS协议)的工作原理。 HTTPS的含义是HTTP + SSL,即使用SSL(安全套接字)协议对通信数据进行加密。HTTP和HTTPS协议的区别(用

    2024年01月20日
    浏览(53)
  • [Java网络安全系列面试题] HTTP和HTTPS协议区别和联系都有哪些?

    2.1 HTTP特点 1.支持客户/服务器模式。( C/S 模式) 2.简单快速:客户向服务器请求服务时,只需传送请求方法和路径。请求方法常用的有 GET 、 HEAD 、 POST 。每种方法规定了客户与服务器联系的类型不同。由于 HTTP 协议简单,使得 HTTP 服务器的程序规模小,因而通信速度很快。

    2024年04月23日
    浏览(49)
  • 常见网络通信协议(http、https、ws)及安全协议(SSL、TLS、XTLS)

    文章内容删除了一大半不合适的内容,发不出来,你懂得。🥰 HTTP和HTTPS都属于 应用层协议 ,它们都是用于从万维网(WWW)服务器传输超文本到本地浏览器的传送协议。它们都是 基于 TCP/IP 协议 来传递数据的,支持 客户端-服务器模式 的通信。 HTTP和HTTPS的区别主要在于HTT

    2024年02月10日
    浏览(51)
  • DGA行为转变引发了对网络安全的担忧

    Akamai的研究人员发现,在域名系统(DNS)流量数据中,动态种子域生成算法(DGA)家族的行为发生了令人担忧的变化。这一发现揭示了恶意行为者如何调整他们的策略来延长他们的指挥与控制(C2)通信通道的寿命,以保护他们的僵尸网络。 从技术角度来看,DGAs有两种主要类型,分别

    2024年02月09日
    浏览(41)
  • 什么是网络安全?网络安全为何重要?

    作者: Insist-- 个人主页: insist--个人主页 作者会持续更新网络知识和python基础知识,期待你的关注 目录 一、什么是网络安全 二、网络安全为何重要? 1、数据安全 2、保护财务信息 3、遵守法律法规 4、防止网络攻击 三、网络安全常见问题隐患 1、弱密码 2、恶意软件 3、网

    2024年02月09日
    浏览(44)
  • 计算机网络 网络安全

    计算机网络面临的女全性威胁 计算机网络的通信而临两大类威胁,即被动攻击和主动攻击 被动攻击是指攻击者从网络上窃听他人的通信内容。通常把这类攻击称为截获。在被动攻击中,攻击者只是观察和分析某一个协议数据单元 PDU (这里使用 PDU 这一名词是考虑到所涉及的

    2024年01月20日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包