- Htttp采用明文传输信息,存在信息窃听,信息篡改的风险,而协议TLS/SSL具有身份验证、信息加密和完整性校验的功能,可以完全避免此类问题发生。
- 窃听相同段上的通信很简单,只需要收集在互联网上流动的数据包就可以,对于收集这些数据包的工作交给抓包 工具 就可以实现了。
- TSL/SSL全称安全传输协议,是介于TCP和HTTP之间的一层安全协议,不影响原有的TCP协议和HTTP协议,所以使用HTTPS基本不需要对HTTP页面进行太多的改造。
- HTTPS = HTTP+ TLS/SSL
- TSL/SSL主要依赖三类基本算法:散列函数Hash、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列函数验证信息的完整性。!
- https过程
- 客户端使用HTTPS的URL访问Web服务器,要求与WEb服务器建立SSL连接
- Web服务器收到客户端的请求后,会将网站信息(证书中包含公钥)传送一份给客户端
- 客户端的浏览器与Web服务器协商SSL/TSL连接的安全协议等级,也就是信息加密的等级
- 客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将对话的密钥加密并·传送网站
- Web服务器利用自己的私钥密出会话密钥
- web服务器利用会话密钥加密与客户端之间进行通信
- https的优点
- 客户端产生的密钥只有客户端和服务器端能得到
- 加密的数据只有客户端和服务端才能得到明文
- 客户端到服务端的通信是安全的
- https的局限/缺点
- HTTPS比HTTP耗费更多的服务器资源(https其实就是构建在SSL/TSL上的http协议,所以https比http多用多少服务器资源,主要看SSL/TSL本身消耗多少服务器资源)
- HTTPS并不能防止站点被网络蜘蛛抓取。某些情形下被加密资源的URL可仅通过截获请求和响应大小推得,这就可使攻击者同时知道明文(公开的静态内容)和密文(被加密过的明文),从而选择密文攻击成为可能
- SSL证书需要绑定IP,不能在同一IP上绑定多个域名、
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
REST in Practice
Jim Webber、Savas Parastatidis、Ian Robinson / O'Reilly Media / 2010-9-24 / USD 44.99
Why don't typical enterprise projects go as smoothly as projects you develop for the Web? Does the REST architectural style really present a viable alternative for building distributed systems and ent......一起来看看 《REST in Practice》 这本书的介绍吧!
