14.1 保护HTTP的安全

最新推荐文章于 2021-12-15 16:46:50 发布
最新推荐文章于 2021-12-15 16:46:50 发布
阅读量270 收藏
点赞数
分类专栏: HTTP 14. HTTPS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gogzf/article/details/78385431
版权
  • 前面介绍的安全技术,在友好环境中可以很好地工作,但在充满各种利益驱动和恶意对手的环境中,它们并不足以保护那些重要的事务处理。本章提供了一种更复杂,更安全的技术,通过数字密码来保护 HTTP 事务免受窃听和篡改的侵害。
  • 前面的章节讨论了一些提供认证(基本认证和摘要认证)和报文完整性检查(摘要 qop=”auth-int”)的轻量级方法。对很多网络事务来说,这些方法都是很好用的,但对大规模的购物、银行事务,或者对访问机密数据来说,并不足够强大。这些更为重要的事务需要将 HTTP 和数字加密技术结合起来使用,才能确保安全。
  • HTTP 的安全版本要高效、可移植且易于管理,不但能够适应不断变化的情况而且还应该能满足社会和政府的各项要求。我们需要一种能够提供下列功能的 HTTP 安全技术:
    • 服务器认证(客户端知道它们是在与真正的而不是伪造的服务器通话)。
    • 客户端认证(服务器知道它们是在与真正的而不是伪造的客户端通话)。
    • 完整性(客户端和服务器的数据不会被修改)。
    • 加密(客户端和服务器的对话是私密的,无需担心被窃听)。
    • 效率(一个运行的足够快的算法,以便低端的客户端和服务器使用)。
    • 普适性(基本上所有的客户端和服务器都支持这些协议)。
    • 管理的可扩展性(在任何地方的任何人都可以立即进行安全通信)。
    • 适应性(能够支持当前最知名的安全方法)。
    • 在社会上的可行性(满足社会的政治文化需要)。

HTTPS

  • HTTPS 是最流行的 HTTP 安全形式。它是由网景公司首创的,所有主要的浏览器和服务器都支持此协议。
  • HTTPS 方案的 URL 以 https://,而不是 http:// 开头,据此就可以分辨某个 Web 页面是通过 HTTPS 而不是 HTTP 访问的(有些浏览器还会显示一些标志性的安全提示)。
  • 使用 HTTPS 时,所有的 HTTP 请求和响应数据在发送到网络之前,都要进行加密。 HTTPS 在 HTTP 下面提供了一个传输级的密码安全层——可以使用 SSL,也可以使用其后继者——传输层安全(Transport Layer Security,TLS)。由于 SSL 和 TLS 非常类似,所以我们不太严格地用术语 SSL 来表示 SSL 和 TLS。
    这里写图片描述
  • 大部分困难的编码及解码工作都是在 SSL 库中完成的,所以 Web 客户端和服务器在使用安全 HTTP 时无需过多地修改其协议处理逻辑。在大多数情况下,只需要用 SSL 的输入/输出调用取代 TCP 的调用,再增加其他几个调用来配置和管理安全信息就行了。
gzf6
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTPHTTPS:保护您的在线安全和隐私的关键差异
陈书予
03-08 1万+
HTTPHTTPS是两种网络协议,HTTP是超文本传输协议,用于在Web浏览器和Web服务器之间传输数据,而HTTPS是安全的超文本传输协议,通过SSL/TLS协议提供数据加密和身份认证,保护数据的机密性和完整性。HTTP是明文传输的,容易被窃听、篡改和伪造,安全性较低;而HTTPS通过加密和身份认证,防止数据被窃听、篡改和伪造,提供更高的安全性。
HTTP安全HTTP---HTTPS
OceanStar的博客
07-28 660
HTTPS HTTPS是最常见的HTTP安全版本,HTTPS将HTTP协议与一组强大的对称、非对称和基于证书的加密技术结合在一起,使得HTTPS不仅很安全,而且很灵活,很容易在出于无序状态的、分散的全球互联网上进行管理 HTTPS概述 HTTPS就是在安全的传输层上发送HTTPHTTPS在将位加密的HTTP报文发送给TCP之前,先将其发送给了一个安全层,对其进行加密。 HTTPS方案 现在,安全HTTP是可选的。因此,对Web服务器发起请求时,我们需要有一种方式来告知Web服务器去执行HTTP安全版本
HTTP+ 加密 + 认证 + 完整性保护 =HTTPS
果酱大师的博客
06-13 7453
早上起来看了会书,虽然一遍可能不会完全学会,但是还是希望能学多少学多少,  1.HTTP+ 加密 + 认证 + 完整性保护 =HTTPS  如果在 HTTP 协议通信过程中使用未经加密的明文,比如在 Web 页面中输入信用卡号,如果这条通信线路遭到窃听,那么信用卡号就暴露了。 另外,对于 HTTP 来说,服务器也好,客户端也好,都是没有办法确认通信方的。因为很有可能并不是和原本预想的通信方在实际
接口安全保护策略
米洛尔的博客
11-09 3660
服务端对外开放API接口,尤其对移动应用开放接口的时候,更需要关注接口安全性的问题,要确保应用APP与API之间的安全通信,防止数据被恶意篡改等攻击。 对于移动应用来说,服务端开放的接口极有可能一些别有用心挖出了,其实很难避免接口暴露到公网去,所以服务端在接口设计层面就必须加以考虑。下面就简单列举几种措施来对付接口安全问题。 Token机制 开放接口时最基本需要考虑到接口不应该被别人随意访问,而我...
重拾后端之Spring Boot(四):使用JWT和Spring Security保护REST API
weixin_34038293的博客
03-10 377
重拾后端之Spring Boot(一):REST API的搭建可以这样简单重拾后端之Spring Boot(二):MongoDb的无缝集成重拾后端之Spring Boot(三):找回熟悉的Controller,Service重拾后端之Spring Boot(四):使用 JWT 和 Spring Security 保护 REST API 通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被...
Location14.1最新版本
11-30
4. **安全性增强**:随着网络安全威胁的日益严重,Location14.1可能会强化数据保护措施,如加强用户隐私保护,防止未经授权的位置数据访问,或者增强系统对恶意软件的防御能力。 5. **兼容性提升**:新版本通常会...
Location-cleaned IOS14.1驱动包
12-16
这种驱动包对于那些重视隐私安全的iOS 14.1用户来说,是一个理想的解决方案。 描述中提到“亲测解压复制到drivers目录可用”,意味着这个驱动包已经被测试过,确保在解压缩后可以被复制到系统的“drivers”目录下,...
firefox 14.1
07-27
总的来说,Firefox 14.1作为一款非网络安装版的浏览器,不仅在安全性和性能上有所提升,还在用户体验和隐私保护方面做出了改进,旨在提供一个稳定、安全、快速的浏览环境。对于那些需要离线安装浏览器的用户,这是一...
Location-cleaned 14.1
11-02
标题“Location-cleaned 14.1”暗示了这是一个针对iOS设备,特别是版本14.1的定位服务相关的工具或应用程序。"Location-cleaned"可能指的是一个能够清理或更改设备定位数据的软件,可能是为了隐私保护或者模拟位置的...
Redis-x64-5.0.14.1.msi
最新发布
05-29
总的来说,"Redis-x64-5.0.14.1.msi"是Windows用户快速部署Redis的一个便捷方式,但需要注意安全配置,尤其是密码保护和网络访问限制。了解并掌握Redis的配置选项和功能特性,对于在Windows环境中有效利用Redis至关...
http协议各个版本
热门推荐
Unique-You的博客
07-25 4万+
一、HTTP协议版本更替 HTTP/0.9         HTTP协议的最初版本,功能简陋,仅支持请求方式GET,并且仅能请求访问HTML格式的资源。 HTTP/1.0     请求行必须在尾部添加协议版本字段(http/1.0);必须包含头消息         在0.9版本上做了进步,增加了请求方式POST和HEAD;不再局限于0.9版本的HTML格式,根据Content-Type可...
使用这些HTTP标头保护您的Web应用程序
cumi7754的博客
07-30 1509
by Alex Nadalin 通过亚历克斯·纳达林 使用这些HTTP标头保护您的Web应用程序 (Secure your web application with these HTTP headers) This is part 3 of a series on web security: part 2 was “Web Security: an introduction to HTTP” ...
安全HTTP协议,HTTPS
qq_49353940的博客
07-21 688
安全HTTP协议,HTTPS HTTPS,是安全版本的http协议 S:SSL为数据通信提供安全支持 1.客户端发送请求–>ssl层加密—>服务器接收到加密文件–>SSL层解密,得到请求明文,对请求做处理 2.服务器发送响应—>SSL层加密—>客户端得到加密文件—>ssl层解密,得到响应明文,解析执行响应内容 ...
HTTP + 加密 + 认证 + 完整性保护 = HTTPS(简单)
Leida_wanglin的博客
12-15 2533
HTTP + 加密 + 认证 + 完整性保护 = HTTPS 柯南语录: 星河随水流聚散 碎碎心念坠落川 想问你平安 却不敢 此生第一次胆寒 半生少年如梦千帆 灼灼心光驱不散 此生既有了这牵绊 我怎好独自黯然 还没带你纵横群山 还没将你的发轻绾 还没好好在这纷乱里纠缠 欠我(你)那把刀还没还 恢恢江湖 与你混迹不曾怕 等我替你踏遍天涯 巍巍江山 为你愿把热血洒 管它又是谁的天下 极寒之雪 飘到哪里才是家 不如让我把你融化 当春艳阳 无形却化作坚实的铠甲 至爱无华 HTTP协议中可能存在信息窃听或身份伪装
HTTP】 各协议版本介绍(面试:各版本的区别!)
lyly_h的博客
08-25 3724
HTTP协议版本HTTP1.0特点优点缺点请求报文GET和POST的区别? HTTP1.0 特点 优点 简单 HTTP基本的报文格式就是 header + body。 灵活和易于扩展 HTTP协议里的各类请求方法`状态码、头字段等都是可以自定义扩展的。 同时 HTTP 由于是工作在应用层( OSI 第七层),则它下层可以随意变化。 应用广泛和跨平台 缺点 无状态 服务器不会去记忆 HTTP 的状态,所以不需要额外的资源来记录状态信息 但是会导致它在完成有关联性的操作时会非常麻烦。 例如登录->
HTTP + 加密 + 认证 + 完整性保护 = HTTPS
weixin_43686867的博客
02-08 675
引入 在HTTP协议通信过程中使用未经加密的明文,比如在Web页面中输入信用卡号,如果这条通信线路遭到窃听,那么信用卡号就暴露了。另外,对于HTTP来说,服务器也好,客户端也好,都是没有办法确认通信方的。因为很有可能并不是和原本预想的通信方在实际通信。并且还需要考虑到接收到的报文在通信途中已经遭到篡改这一可能性。为了统一解决上述这些问题,需要在HTTP上再加入加密处理和认证等机制。我们把添加了加密及认证机制的HTTP称为HTTPS(HTTP Secure)。 HTTPS HTTPS并非是应用层的一种新协议。
14.5 HTTPS 与代理
用不完的好奇心
10-29 4084
客户端通常会用 Web 代理服务器代表它们来访问 Web 服务器。比如,很多公司都会在公司网络和公共因特网的安全边界上放置一个代理。代理是防火墙路由器唯一允许进行 HTTP 流量交换的设备,它可能会进行病毒检测或其他的内容控制工作。 但只要客户端开始用服务器的公开密钥对发往服务器的数据进行加密,代理就再也不能读取 HTTP 首部了。代理不能读取 HTTP 首部,就无法知道应该将请求转向何处了。 为了
14.4 HTTPS 客户端实例
用不完的好奇心
10-29 928
SSL 是个复杂的二进制协议。除非你是密码专家,否则就不应该直接发送原始的 SSL 流量。幸运的是,借助一些商业或开源的库,编写 SSL 客户端和服务器并不十分困难。 1. OpenSSL OpenSSL 是 SSL 和 TLS 最常见的开源实现。OpenSSL 项目由一些志愿者合作开发,目标是开发一个强壮的、具有完备功能的商业级工具集,以实现 SSL 和 TLS 协议以及一个全功能的通用加密库。可
14.2 数字加密简介
用不完的好奇心
10-29 802
在详细探讨 HTTPS 之前,我们先介绍一些 SSL 和 HTTPS 用到的加密编码技术的背景知识。在这个数字加密技术的入门介绍中,我们会讨论以下内容: 密码:对文本进行编码,使偷窥者无法识别的算法。 密钥:改变密码行为的数字化参数。 对称密钥加密系统:编/解码使用相同密钥的算法。 不对称密钥加密系统:编/解码使用不同密钥的算法。 公开密钥加密系统:一种能够使数百万计算机便捷地发送机密报文的系统。
14.3 HTTPS 细节
用不完的好奇心
10-29 710
HTTPS 是最常见的 HTTP 安全版本。HTTPS 将 HTTP 协议与一组强大的对称、非对称和基于证书的加密技术结合在一起,使得 HTTPS 不仅很安全,而且很灵活,很容易在处于无序状态的、分散的全球互联网上进行管理。 1. HTTPS 概述 HTTPS 就是在安全的传输层上发送的 HTTP。它在将 HTTP 报文发送给 TCP 之前,先将其发送给了一个安全层,对其进行加密。 现在,HTTP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值