HTTP的缺点以及HTTPS的出现

最新推荐文章于 2022-03-27 22:25:00 发布
最新推荐文章于 2022-03-27 22:25:00 发布
阅读量1.1k 收藏 7
点赞数 1
分类专栏: 网络 文章标签: HTTP的缺点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lvyibin890/article/details/82460186
版权

之前做了一个网站的项目,之前的网站用的都是HTTP协议的,这是一个超文本传输协议,这篇文章不说HTTP协议内部是怎么实现的,我只在我之前的基础上,说一些HTTP的缺点以便引进HTTPS协议(超文本传输安全协议),简单理解,它就是安全的HTTP协议。

HTTP是很轻巧方便的协议。但与此同时,HTTP协议也有很多的缺点:

  • HTTP协议通信使用明文(未加密的报文),不对传输内容进行加密,如果使用fiddler等抓包工具可以很轻松地截取到HTTP的请求与响应报文(事实上我在做网站的时候经常用fiddler抓包来查看报文内容)
  • HTTP不会验证通信双方的身份,因此有可能出现别的人伪装成对方来和你通信,即通信双方很可能是伪装的,比如我访问百度首页,我并不知道这个响应就是百度返回给我的,也可能是别的人伪装成百度来和我通信
  • HTTP无法证明报文的完整性,有可能报文被截取以后被篡改了再发给我,这样我得到的就是被篡改了的报文。

以上三个缺点,可以简要地归结为如下三点:易被窃听,无身份验证,易被篡改。

事实上,不仅仅是HTTP协议,几乎所有的不加密的协议都会出现此类问题。

 

TCP/IP是可以被窃听的网络

按照TCP/IP协议的工作机制,通信内容在所有的通信线路上都有可能遭到窥视。可以这样理解,在互联网通信时,在通信线路上的所有网络设备等都不是个人私有物,所以很容易被他人所窃听。

所谓的数据加密,其实只是对我们的报文内容进行一个加密,但是我们加密以后的内容还是可以被窃听,但是窃听者不知道怎么对这些加密了的报文进行解密,这在一定程度上起到了数据安全的作用。

加密处理防止数据被窃听

通信加密

  • HTTP没有加密机制,但可以通过和SSL(Secure Socket Layer,安全套接层)或TLS(Transport Layer Security,安全传输层协议)的组合使用,加密HTTP的通信内容
  • 在用SSL建立安全通信线路之后,就可以在这条线路上进行HTTP通信了

内容加密

  • 对HTTP传输内容本身进行加密,这就需要发送方对HTTP报文加密以后再发送请求。
  • 这就要求通信双方使用共同的一套加密和解密机制
  • 但是注意,由于这种加密方式不同于SSL或TLS将整个通信线路加密处理,所以内容仍有被篡改的风险(比如,第三方截取到了报文,并对加密信息做了一些改变,可能是乱改,因为它也不知道加密和解密的机制,但是这样也破坏了接收方收到的信息,按原来的解密方式解密以后,可能就是已经不同于应有内容的数据)

 

不验证通信双方的身份就容易发生伪装

HTTP中的请求和响应不会对通信双方的身份进行确认,可能客户端浏览器实际访问的服务器就不是URL真正指定的服务器,服务器返回给的客户端浏览器的响应不是真正发起请求的客户端浏览器

HTTP服务器可以接收任何请求,只要谁发来了一个请求就会返回一个响应。

由于没有身份验证的问题,并且对请求来者不拒,于是就会出现下面几种情况

  • 接收到请求的服务器可能是伪装的服务器
  • 接收到响应的客户端可能是伪装的客户端
  • 无法确定通信双方是否存在具备访问权限(因为某些内容,只想发送给特定的用户,普通用户可能没有权限访问)
  • 即使是无意义的请求也会来者不拒,无法阻止海量请求下的DOS攻击

查明对方证书来验证通信双方身份

虽然HTTP本身没有验证身份的机制,但是SSL有一种证书手段,可以用来进行身份验证。

证书是由双方都认可的第三方机构颁发的,用来证明服务器和客户端都是实际存在的(可以理解为日常生活中的担保)。而对于证书,从技术上来说,伪造证书是非常困难的事。所以只要能够确认通信方持有的证书,即可判断通信方的真实意图。

客户端在建立连接的时候,会先验证一下服务器的证书,用来确认访问的即是这个服务器。而服务器持有第三方发给的证书,于是将此证书返回给客户端,于是客户端知道,我要访问的就是这个服务器,于是身份验证就好了。

对于支付宝之类的涉及个人财产即隐私的服务器,尤其需要身份验证,否则用户数据一旦泄露后果不堪设想。

同时,客户端也持有证书,这样即可做到个人信息的确认,服务器就知道我到底访问的是不是这个人了。

接收到的内容可能会被篡改

HTTP无法保证内容的完整性,即无法保证客户端接收到的响应和服务器发出的响应的内容是一样的,在传输过程中可能被篡改。

比如要从网站上下载内容,HTTP无法确定客户端下载到的内容就是服务器上存放的那个文件,即使内容被改变,客户端也是察觉不到的。这就是中间人攻击,由中间人截取报文并篡改。

如何防止篡改

之前在说到加密的时候我们说到,可以通过一些加密手段来对内容进行加密,其中常用的方法有MD5和SHA1等散列值校验的方法,以及用来确认文件的数字签名方法。

提供文件下载服务的网站也会提供相应的数字签名,以及MD5算法生成的散列值。但是不论哪种方法,都需要操作客户端的用户本人亲自检查验证下载的文件是否就是服务器上的文件,浏览器无法帮助用户检查。

但即使用了上面的方法,也无法保证数据不被篡改,上面说过了,因为可能MD5本身被改了的话,还是会发生篡改的问题。

 

为了有效防止上面说到的 易被窃听,无身份验证,易被篡改这三个问题,就引入了HTTPS。

HTTPS就是HTTP+SSL协议,HTTP协议本身无法解决这些问题,就得依靠别的协议。而SSL协议做的事情,其实就是数据加密,身份认证,保证数据完整性不被篡改。因此之前所说的HTTP的缺点,HTTPS就可以很好的解决。

下一篇文章我们再来探讨HTTPS协议

 

 

TLpigff
关注
专栏目录
使用 rem 布局的优缺点
liuhao9999的博客
03-23 3103
优点: 在屏幕分辨率千差万别的时代,只要将rem与屏幕分辨率关联起来就可以实现页面的整体缩放,使得在设备上的展现都统一起来了。 而且现在浏览器基本都已经支持rem了,兼容性也非常的好。 缺点: (1)在奇葩的dpr设备上表现效果不太好,比如一些华为的高端机型用rem布局会出现错乱。 (2)使用iframe引用也会出现问题。 (3)rem在多屏幕尺寸适配上与当前两大平台的设计哲学不一致。即大屏的出现到底是为了看得又大又清楚,还是为了看的更多的问 题。 ...
HTTPS解决HTTP三个缺点
weixin_44802421的博客
04-20 867
HTTPS HTTP协议的缺点 通信使用明文(不加密)内容会被监听 不验证通信方的信息,因此可能遭遇伪装 无法证明报文的完整新,所以有可能遭到篡改 因为HTTP的这些缺点,所以引入了HTTPS来进行加密.HTTPSHTTP + SSL(secure socket layer) OR TLS HTTPS解决了下面两个问题 认证访问的网站.比如说你在访问支付宝,怎么确定你访问的就是阿里巴巴...
HTTP缺点
weixin_43926604的博客
10-08 692
HTTP缺点 1、使用明文通信 HTTP协议不具备给通讯内容加密的功能,所有使用HTTP协议通信的请求和响应的内容无法进行加密,都是使用明文发送。 2、不验证通讯双方身份 3、无法验证报文的完整性 ...
HTTP缺点
不二的博客
07-04 1452
    到现在为止,我们已了解到 HTTP  具有相当优秀和方便的一面,然而 HTTP  并非只有好的一面,事物皆具两面性,它也是有不足之处的。HTTP  主要有这些不足,例举如下。    通信使用明文(不加密),内容可能会被窃听    不验证通信方的身份,因此有可能遭遇伪装    无法证明报文的完整性,所以有可能已遭篡改这些问题不仅在 HTTP  上出现,其他未加密的协议中也会存在这类问题。  ...
HTTP协议(六)
qq_38175040的博客
11-03 489
1. HTTP报文首部 HTTP 协议的请求和响应报文中必定包含 HTTP 首部。首部内容为客户端和服务器分别处理请求和响应提供所需要的信息。 HTTP请求报文 在请求中,HTTP 报文由方法、URI、HTTP 版本、HTTP 首部字段等部分构成。 示例: GET / HTTP/1.1 Host: hackr.jp User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/⇒ 20100101 Firefox/13.0 Accept:
http协议的缺点及解决方法
任浩的博客
01-12 1047
缺点 1、通信明文传输,内容可能被窃听 2、无法验证客户端身份,可能被伪装 3、无法验证数据的完整性,可能被篡改 解决方法 1、加密防止窃听 2、通信加密,使用SSL(安全套接层)与TLS(安全传输层) 技术实现整个通信的加密 3、使用证书查明对方身份,证书有值得信赖的第三方机构颁发 4、使用SSL提供摘要功能 ...
详细说明HTTP2相比于HTTP1.x的优缺点
weixin_45823137的博客
03-24 1540
优点: (1)、二进制分帧: HTTP 1.x 以换行符作为纯文本的分隔符,用文本格式来传输数据。而 HTTP2 的核心是二进制分帧层,HTTP 2将所有传输的信息分割为更小的消息和帧,并对它们采用二进制格式的编码,二进制协议解析起来更高效。 帧:HTTP2数据通信的最小单位消息,指HTTP2中逻辑上的HTTP消息。例如请求和响应等,消息由一个或者多个帧组成。 流:存在于连接中的一个虚拟通道。流可以承载双向消息,每个流都有唯一的整数ID。 (2)头部压缩: HTTP/1.x会在请求和响应中重复地携带不常改变
宏的优缺点以及解决办法
Alice_lihao的博客
07-24 2957
宏常量:为了实现简单,会定义宏常量 优点:1.一改全改,2.降低出错率,3.可读性高, 缺点:在预处理阶段进行替换,不会进行类型检测,安全性低(如果写错因为在预处理阶段不会在文件定义宏处报错,而会在使用处报错); 建议:尽量使用const修饰的常量替换宏常量 宏函数: 优点: 1.不是函数,少了函数调用,提高程序运行效率, 2.少写代码:因为宏函数是多条语句的封装—注意:不能提高代码复用率,因为宏函数在预处理阶段就展开了 3.可以提高代码的可读性 缺点: 1.在预处理阶段被替换,不会进行类型检测,代码安全性
多项式拟合缺点_常见算法优缺点
weixin_42355665的博客
12-31 6791
1.朴素贝叶斯朴素贝叶斯属于生成式模型(关于生成模型和判别式模型,主要还是在于是否是要求联合分布),非常简单,你只是做了一堆计数。如果注有条件独立性假设(一个比较严格的条件),朴素贝叶斯分类器的收敛速度将快于判别模型,如逻辑回归,所以你只需要较少的训练数据即可。即使NB条件独立假设不成立,NB分类器在实践中仍然表现的很出色。它的主要缺点是它不能学习特征间的相互作用,用mRMR中R来讲,就是特征冗余...
rpc与rest区别以及优缺点
桥头落日的博客
11-08 7302
rest与rpc之间的区别 1,rest REST是一种架构风格,指的是一组架构约束条件和原则。满足这些约束条件和原则的应用程序或设计就是 RESTful。REST规范把所有内容都视为资源,网络上一切皆资源。 REST并没有创造新的技术,组件或服务,只是使用Web的现有特征和能力。 可以完全通过HTTP协议实现,使用 HTTP 协议处理数据通信。REST架构对资源的操作包括获取、创建、修改和删除资源的操作正好对应HTTP协议提供的GET、POST、PUT和DELETE方法。 2,rpc RPC(Remote
简单说一下http的优点和缺点?
weixin_47450807的博客
03-27 5379
一、写在前面 http协议存在优点,同时也存在弊端,但是如果提问你说一下,http存在哪些缺点缺点。这个问题在一次面试中遇到了,我说了两点,结果面试官一直再问还有吗,还有吗。 二、http的优点 2.1、http的灵活性高,可扩展性强,从http1.0到http1.1再到http2.x,http协议一直在进行扩展新的属性。 2.2、可靠传输,因为http协议是基于tcp协议的一种应用层协议,tcp协议就是可靠传输协议。 2.3、请求应答,有来有回。 2.4、无状态的,每一个请求都是相互独立的,默认不需要保
httphttps混搭可能导致安全风险提示问题
werflychen的专栏
11-04 2348
如果你的页面之中,使用http访问,但页面内容又包含了https的引用,则在浏览器中,可能会导致一个风险提示,例如:在IE8下,提示“该页面正在访问其控制范围之外的信息。这可能导致安全风险。是否继续? 最近在开发一个前台系统的时候遇到这个问题,这里先暂时做下记录,方便后续遇到同类问题可以查证。 解决方法: 1、客户端可以将浏览器的安全设置级别放低一些,不会提示。 2、服务器端,将web服务
httphttps的区别
weixin_43149784的博客
03-19 1790
值得注意 https协议需要到ca申请证书,一般免费证书很少,需要交费。 http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议 httphttps使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443 HTTP缺点 HTTP主要有这些不足: 通信使用明文,内容可能被窃听 不验证通信方身份,因此有可能遭遇伪装 无法验证报文的完整性,所有有可能已...
Https简介及优缺点
JsRoccketq的博客
08-20 501
Https简介及优缺点 HTTP是一种构建在SSL和TLS上的HTTP协议。是一种通过计算机网络进行安全通信的传输协议HTTPSHTTP的安全版本,是经由HTTP进行通信,但是利用ssl和TLS来加密数据包,为网络通信提供来源认证、数据加密和报文完整性检测,保障通信的保密性和可靠性。HTTPS协议的URL都是以HTTPS://开头,在访问某个web页面的时候,通过443端口进行连接。 HTTP的...
计算机网络 | HTTPS协议 :对称加密、非对称加密、数字证书、完整性保护
凌桓丶的博客
09-07 2963
文章目录HTTPS VS HTTPHTTPS=HTTP+加密+证书+完整性保护加密对称加密非对称加密混合加密证书完整性保护HTTPS并不能取代HTTPSSL是把双刃剑HTTPS的遗憾之处 HTTPS VS HTTP 计算机网络 (二) 应用层 :HTTP协议详解 在之前的博客中介绍了HTTP协议,虽然从中了解了他优秀的一面,但是也能看到他许多的不足。 由于其本身通信使用明文,没有进行加密,也没有确认通信方的一种机制,所以在互联网上近似于裸奔,很容易就会受到中间人攻击,导致安全存在问题。 通信时数据并没有进
关于HTTP协议的安全隐患问题
a15929748502的博客
03-26 3538
1.错误配置导致安全隐患 服务器存在允许PUT方式和MOVE方式,这时我们可以通过PUT方式传一个webshell.txt,然后再结合MOVE方式结合解析漏洞,这样就可以很快拿到网站的webshell. 2.HTTP头中安全隐患 在PHP中通过使用$_SERVER["HTTP_CLIENT_IP"]或者$_SERVER["HTTP_X_FORWARDED_FOR"]来获取IP。 因此,我们...
HTTP缺点
Bliss_妍的博客
08-18 915
HTTP 的特点概括如下: (1)灵活可扩展,主要体现在两个方面。一个是语义上的自由,只规定了基本格式,比如空格分隔单词,换行分隔字段,其他的各个部分都没有严格的语法限制。另一个是传输形式的多样性,不仅仅可以传输文本,还能传输图片、视频等任意数据,非常方便。 (2)可靠传输。HTTP 基于 TCP/IP,因此把这一特性继承了下来。这属于 TCP 的特性,不具体介绍了。 (3)请求-应答。也就是一发一收、有来有回, 当然这个请求方和应答方不单单指客户端和服务器之间,如果某台服务器作为代理来连接后端的服务端,那
http缺点
一个很low的程序员
11-12 4232
http的优缺点不是绝对的,在某些特定情况下显示出来的优缺点,有时优点可以是缺点,有时缺点可以是优点。 http的特点: 灵活可扩展:http非常灵活,在报文中没有做过多的限制,只要按照其规则可以自己定义字段,在传输中也不仅仅限于txt文本格式,也可以传输图片,视频,压缩包等等任意数据。 可靠性:因为http是基于tcp/ip传输的,因为tcp/ip是一个连接传输协议,因此是是一个可靠的传输...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值