• 《图解HTTP》确保web安全的https


    一、HTTP的缺点

      通信使用文明可能会被窃听

      不验证通信放的身份就可能遭遇伪装

      无法证明报文完整性,可能已遭篡改

    1、通信使用文明可能会被窃听

      HTTP不具备加密功能,使用明文方式发送

      TCP/IP是可能被监听的网络,互联网上的任何角落都存在通信内容被窃听的风险

      加密处理防止被窃听

        通信的加密:使用SSL和TLS的组合,加密HTTP通信内容

        内容的加密:要求客户端和服务器具有加密、解密的功能

    2、不验证通信放的身份就可能遭遇伪装

      任何人都可发起请求的隐患:

        无法确认响应服务器是否真实(有可能是伪装的)

        无法确认发送请求的客户端是否真实(有可能是伪装的)

        无法确认通信对方是否有权限

        无法确认请求来自哪里

        无法阻止海量请求的Dos攻击

      查明对手的证书:SSL不仅提供加密处理,还使用证书的手段

    3、无法证明报文完整性,可能已遭篡改

      收的内容可能有误

      请求或响应遭到篡改,也无法知道

    二、HTTP+加密+认证+完整性保护=HTTPS

    1、HTTP加上加密处理和认证以及完整性保护后即时HTTPS

      HTTPS浏览器会自动加一个锁的标识

    2、HTTPS是身披SSL外壳的HTTP

      http通信接口用户SSL和TLS协议代替(之前是:HTTP和TCP通信,现在是:HTTP和SSL通信,然后SSL再和TCP通信)

    3、相互交换密钥的公开密钥加密技术

      SSL:公开密钥加密(有了密钥才能解密)

      共享密钥加密:对称加密,加密和解密是一个密钥

      公开密钥加密:非对称加密(公钥+私钥)公钥加密,私钥解密,

      HTTPS采用混合加密:先公开加密传达共享密钥(安全),然后共享加密(提高通信速度)

    4、证明公开密钥正确性的证书

      公开密钥证书被替换

      可证明组织性的EVSSL证书:(绿色图标)目的防止用户被钓鱼攻击

      用以确认客户端的客户端证书:用户需自行安装(如:网银)

      可以伪造数字签名证书

      自签名证书:自己颁给自己服务器的证书 

    5、HTTPS的安全通信机制

      缺点:

        SSL,通信慢,大量消耗CPU。(进行SSL通信、加密处理)

        购买证书开销大

  • 相关阅读:
    网络服务管理手册
    Oracle随机函数的取法
    oracle 分析函数over
    RMAN故障解决——RMAN用户手册
    SQL*PLUS命令的使用大全
    如何监测一个PLSQL过程的运行情况(三)
    oracle for in loop 两例
    自定义组件——按钮(转)
    新人报到安家!
    Delphi中生成控件的两种方法
  • 原文地址:https://www.cnblogs.com/zhuxr/p/14175634.html
Copyright © 2020-2023  润新知