图解HTTP----确保Web安全的HTTPS

最新推荐文章于 2023-06-27 20:58:39 发布
原创 最新推荐文章于 2023-06-27 20:58:39 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#HTTP

一、概述

在HTTP协议中有可能存在信息窃听身份伪装等安全问题。使用HTTPS通信机制可以有效地防止这些问题。

二、HTTP的缺点

(1)通信使用明文(不加密),内容可能会被窃听。

(2)不验证通信方的身份,因此有可能遭遇伪装。

(3)无法证明报文的完整性,所以有可能已遭篡改。

  • 通信使用明文可能会被窃听

(1)由于HTTP本身不具备加密的功能,所以也无法做到对通信整体(使用HTTP协议通信的请求和响应的内容)进行加密。即HTTP报文使用明文(指未经过加密的报文)方式发送。

(2)TCP/IP是可能被窃听的网络

1)按TCP/IP协议族的工作机制,通信内容在所有的通信线路上都有可能遭到窥视

2)所谓互联网,是由能连通到全世界的网络组成的。无论世界哪个 角落的服务器在和客户端通信时,在此通信线路上的某些网络设备、光缆、计算机等都不可能是个人的私有物,所以不排除某个环节中会遭到恶意窥视行为

3)即使已经过加密处理的通信,也会被窥视到通信内容,这点和未加密的通信是相同的。只是说如果通信经过加密,就有可能让人无法破解报文信息的含义,但加密处理后的报文信息本身还是会被看到的。

4)窃听相同段上的通信并非难事。只需要收集在互联网上流动的数据包(帧)就行了。对于收集来的数据包的解析工作,可交给那些抓包(Packet Capture)或嗅探器(Sniffer)工具。

(3)加密处理防止被窃听

  • 通信的加密

1)HTTP协议中没有加密机制,但可以通过和SSL(Secure Socket Layer,安全套接层)或 TLS(Transport Layer Security,安全层传输协议)的组合使用,加密HTTP的通信内容。

2)用SSL建立安全通信线路之后,就可以在这条线路上进行HTTP通信了。

3)与SSL组合使用HTTP被称为HTTPS(Secure,超文本传输安全协议)或 HTTP over SSL。

  • 内容的加密

1)由于HTTP协议中没有加密机制,那么就对HTTP协议传输的内容本身加密。即把HTTP报文里所含的内容进行加密处理。

2)在这种情况下,客户端需要对HTTP报文进行加密处理后再发送请求。

3)为了做到有效的内容加密,前提是要求客户端和服务器同时具备加密和解密机制。

4)由于该方式不同于SSL或TLS将整个通信线路加密处理,所以内容仍有被篡改的风险。

  • 不验证通信方的身份就可能遭遇伪装

HTTP 协议中的请求和响应不会对通信方进行确认。也就是说存在“服务器是否就是发送请求中 URI 真正指定的主机,返回的响应是否真的返回到实际提出请求的客户端”等类似问题。

(1)任何人都可发起请求

1)在HTTP协议通信时,由于不存在确认通信方的处理步骤,任何人都可以发起请求。

2)服务器只要接收到请求,不管对方是谁都会返回一个响应(但也仅限于发送端的 IP 地址和端口号没有被 Web 服务器设定限制访问的前提下)。

3)HTTP 协议的实现本身非常简单,不论是谁发送过来的请求都会返回响应,因此不确认通信方,会存在以下各种隐患。

无法确定请求发送至目标的 Web 服务器是否是按真实意图返回响应的那台服务器。有可能是已伪装的 Web 服务器。

无法确定响应返回到的客户端是否是按真实意图接收响应的那个客户端。有可能是已伪装的客户端。

无法确定正在通信的对方是否具备访问权限。因为某些Web 服务器上保存着重要的信息,只想发给特定用户通信的权限。

无法判定请求是来自何方、出自谁手。

即使是无意义的请求也会照单全收。无法阻止海量请求下的 DoS 攻击(Denial of Service,拒绝服务攻击)。

(2)查明对手的证书

1)虽然使用 HTTP 协议无法确定通信方,但如果使用 SSL则可以。 SSL不仅提供加密处理,而且还使用了一种被称为证书的手段,可用于确定方

2)证书由值得信任的第三方机构颁发,用以证明服务器和客户端是实际存在的。另外,伪造证书从技术角度来说是异常困难的一件事。所以只要能够确认通信方(服务器或客户端)持有的证书,即可判断通信方的真实意图。

3)通过使用证书,以证明通信方就是意料中的服务器。这对使用者个人来讲,也减少了个人信息泄露的危险性。

4)客户端持有证书即可完成个人身份的确认,也可用于对Web 网站的认证环节。

  • 无法证明报文完整性,可能已遭篡改

所谓完整性是指信息的准确度。若无法证明其完整性,通常也就意味着无法判断信息是否准确。

  • 接收到的内容可能有误

1)由于 HTTP 协议无法证明通信的报文完整性,因此,在请求或响应送出之后直到对方接收之前的这段时间内,即使请求或响应的内容遭到篡改,也没有办法获悉。换句话说,没有任何办法确认,发出的请求 / 响应和接收到的请求 / 响应是前后相同的。

  • 如何防止篡改

1)虽然有使用 HTTP 协议确定报文完整性的方法,但事实上并不便捷、可靠。其中常用的是 MD5 SHA-1 等散列值校验的方法,以及用来确认文件的数字签名方法。

最低0.47元/天 解锁文章

200万优质内容无限畅学
图解HTTP-HTTP报文内的HTTP信息-学习总结归纳【1.7】
qq_43416206的博客
02-09 760
而且,还有像某些特定的Web 服务器和特定的 Web 浏览器在实际应用中存在的不足(也可以说成是脆弱性或安全漏洞),另外, 用 Java 和 PHP 等编程语言开发的 Web应用也可能存在安全漏洞。调用 Cookie 时, 由于可校验 Cookie 的有效期,以及发送方的域、路径、协议等信息,所以正规发布的 Cookie 内的数据不会因来自其他Web 站点和攻击者的攻击而泄露。由于 HTTP 本身不具备加密的功能,所以也无法做到对通信整体(使用 HTTP 协议通信的请求和响应的内容)进行加密。
图解HTTP》第七章 确保Web安全HTTPS
最新发布
qq_43783527的博客
08-11 1014
HTTP中有可能存在信息窃听或身份伪装等安全问题。使用HTTPS 通信机制可以有效地防止这些问题。本章我们就了解一下HTTPS
图解HTTP 第七章、确保Web安全HTTPS
Windsearcher的博客
01-23 355
7.1 HTTP的缺点 通信使用明文,内容可能会被窃听 不验证通信方身份,因此有可能遭遇伪装 无法征明报文的完整性,所以有可能已遭篡改 7.2 HTTP+加密+认证+完整性保护=HTTPS 7.2.2 HTTPS是身披SSL外壳的HTTP 7.2.3 相互交换密钥的公开密钥加密技术 1.什么是共享密钥加密(对称密钥加密)? 由于加密和解密用同一个密钥,所以如何安全转...
确保Web安全HTTPS-HTTP(七)
抽象的螺旋
12-25 2599
概述 在HTTP协议中有可能存在信息窃听或身份伪装等安全问题。使用HTTPS通信机制可以有效地防止这些问题。本章我们就了解一下HTTPSHTTP的缺点 到目前为止,我们已了解到HTTP具有相当优秀和方便的一面,然而HTTP并非只有好的一面,事物皆具两面性,它也是有不足之处的。 HTTP主要有这些不足,例举如下: 通信使用明文(不加密),内容可能会被窃听。 不验证通信方的身份,因此有可能遭遇伪装。 无法证明报文的完整性,所以有可能已遭篡改。 这些问题不仅在HTTP上出现,其他未加密的协议中也会存在这类问
图解HTTP:确保WEB安全HTTPS连接
BoBoMEe
01-13 1336
HTTP 的缺点明文(不加密),内容易被窃听 不验证通信方身份,有可能遭遇伪装 无法证明报文的完整性,可能遭遇中途篡改 这些问题不仅出现在 HTTP 上,在其他未加密的协议上也存在这类问题 针对明文的情况通信加密 通过 SSL 和TLS 使用SSL建立安全通信线路之后,就可以在这条线路上进行 HTTP 通信了.内容加密 要求 客户端 和 服务器 同时具备加密和解密机制.内容仍
图解HTTP确保Web安全HTTPS
青萍之末的博客
12-09 648
文章目录一、HTTP的缺点1、通信加密2、内容的加密二、HTTP+ 加密 + 认证 + 完整性保护=HTTPS1、使用两把密钥的公开密钥加密2、HTTPS 采用混合加密机制3、既然HTTPS安全可靠,那为何所有的Web网站不一直使用HTTPS?三、HTTPS工作原理四、确认访问用户身份的认证 一、HTTP的缺点 通信使用明文(不加密),内容可能会被窃取; 不验证通信方的身份,因此有可能遭遇...
确保web地址正确解决方案
技术老鸟
05-18 2万+
web地址无法访问
图解HTTP--完整彩色版1
08-04
8. **HTTPS安全通信**:HTTPS通过加密、认证和完整性保护弥补了HTTP安全弱点,确保Web通信的安全。 9. **认证机制**:包括BASIC认证、DIGEST认证、SSL客户端认证和基于表单的认证,用于验证用户身份。 10. **...
无法访问此页面,确保web地址正确
冰糖糯米藕
02-22 2万+
 
【电脑使用】chm文件打开显示确保Web地址 //ieframe.dll/dnserrordiagoff.htm#正确
记录学习成长之路,进一寸有进一寸的欢喜
06-11 1万+
  最近找到一个之前的一个chm文件,打开的时候内容是空白的,同时报错“确保Web地址 //ieframe.dll/dnserrordiagoff.htm#正确”,如下图所示。   根据文章中提示的方法,找到了原因所在:chm文件所在路径含有#号。这个问题也是无语了,记录一下吧。...
eclipse无法显示此页,确保web地址http://localhost:8080正确,可能是ie问题
The_Handsome_Sir的博客
09-09 7908
      今天早上起来发现挖矿软件不显示数据,但是服务器端有响应,本来想想也算了,只要能够正常挖就不用管这么多。但是下午发现打开eclipse出现eclipse无法显示此页,想到最近折腾了很多别的项目的环境,可能折腾完了忘记改回了。情况如下: 这是一张网图,大致情况是这样。       我先想到的是tomcat,于是乎tomcat被我折腾到无法正常启动了,经过一番折腾后发现可能是overview设置的问题,于是我改成如下设置
Win10无法打开电子书提示“确保Web地址正确”的解决方案
热门推荐
caishang的博客
07-13 2万+
从网上转载的,文件夹 多了#Win10无法打开电子书提示“确保Web地址正确”的解决方案 发布时间:2016-01-21 17:52发布者:系统城-小群浏览数:898 我们在学习的时候,为了方便查阅,都会在网上下载一些离线电子书。不过,近来有些用户却反馈自己的win10系统电脑无法打开下载的电子书(.EXE或.CHM格式),在点击其中的类目时会出现提示“无法显示此页,确保 Web 地址 //ie
确保Web地址 //ieframe.dll/dnserrordiagoff.htm#正确
m0_64212491的博客
06-27 1万+
确保Web地址 //ieframe.dll/dnserrordiagoff.htm#正确
确保WEB安全HTTPS
AFeng521web
04-05 587
一、HTTP的缺点: 1、通信使用明文(不加密),内容可能会被窃听。 2、不验证通信方的身份,因此有可能遭遇身份伪装。 3、无法证明报文的完整性,所以有可能已被篡改。 通信使用明文可能会被窃听 TCP/IP是可能被窃听的网络 1、加密处理防止被窃听 通信加密:HTTP中没有加密机制,但是可以通过和SSL(Secure Socket Layer,安全套接层)或TLS(Transpo...
图解HTTP协议学习09
大脸猫的博客
09-23 360
HTTP的缺点 HTTP主要有这些不足 通信使用明文(不加密),内容可能会被窃听 不验证通信方的身份,因此有可能遭遇伪装 无法证明报文的完整性,所以有可能已遭篡改 通信使用明文可能被窃听 TCP/IP 是可能被窃听的网络:比如使用抓包工具HttpDebuger、Filder都能够获取响应或者发送请求 图:互联网上的任何角落都...
win7下chm文件打不开“确保 Web 地址 //ieframe.dll/dnserrordiagoff.htm# 正确。 “
dieyun5640的博客
12-19 4311
  Win7打开chm文件无法显示内容,只出现如下提示:一:无法显示此页  确保 Web 地址 //ieframe.dll/dnserrordiagoff.htm# 正确。  使用搜索引擎查找页面。  请过几分钟后刷新页面。   解决方法:  1.一般情况下无法显示网页:右键 chm文件属性里最下面有个“解除锁定”,点击“解除锁定”按钮就可以了。   2.如果没有解除锁定,由于.ch...
确保 web 地址正确_如何确保Google拥有正确的工作和家庭住址
cuma1988的博客
09-22 1867
确保 web 地址正确For years, Google has used your home or work address to tell you how long your commute will be, find restaurants nearby,and show you localweather.Usually, you shouldn’t have to tweak thi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值