- Htttp采用明文传输信息,存在信息窃听,信息篡改的风险,而协议TLS/SSL具有身份验证、信息加密和完整性校验的功能,可以完全避免此类问题发生。
- 窃听相同段上的通信很简单,只需要收集在互联网上流动的数据包就可以,对于收集这些数据包的工作交给抓包 工具 就可以实现了。
- TSL/SSL全称安全传输协议,是介于TCP和HTTP之间的一层安全协议,不影响原有的TCP协议和HTTP协议,所以使用HTTPS基本不需要对HTTP页面进行太多的改造。
- HTTPS = HTTP+ TLS/SSL
- TSL/SSL主要依赖三类基本算法:散列函数Hash、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列函数验证信息的完整性。!
- https过程
- 客户端使用HTTPS的URL访问Web服务器,要求与WEb服务器建立SSL连接
- Web服务器收到客户端的请求后,会将网站信息(证书中包含公钥)传送一份给客户端
- 客户端的浏览器与Web服务器协商SSL/TSL连接的安全协议等级,也就是信息加密的等级
- 客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将对话的密钥加密并·传送网站
- Web服务器利用自己的私钥密出会话密钥
- web服务器利用会话密钥加密与客户端之间进行通信
- https的优点
- 客户端产生的密钥只有客户端和服务器端能得到
- 加密的数据只有客户端和服务端才能得到明文
- 客户端到服务端的通信是安全的
- https的局限/缺点
- HTTPS比HTTP耗费更多的服务器资源(https其实就是构建在SSL/TSL上的http协议,所以https比http多用多少服务器资源,主要看SSL/TSL本身消耗多少服务器资源)
- HTTPS并不能防止站点被网络蜘蛛抓取。某些情形下被加密资源的URL可仅通过截获请求和响应大小推得,这就可使攻击者同时知道明文(公开的静态内容)和密文(被加密过的明文),从而选择密文攻击成为可能
- SSL证书需要绑定IP,不能在同一IP上绑定多个域名、
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Chinese Authoritarianism in the Information Age
Routledge / 2018-2-13 / GBP 115.00
This book examines information and public opinion control by the authoritarian state in response to popular access to information and upgraded political communication channels among the citizens in co......一起来看看 《Chinese Authoritarianism in the Information Age》 这本书的介绍吧!
