HTTP:
HTTP:超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。
设计 HTTP 最初的目的是为了提供一种发布和接收 HTML 页面的方法。它可以使浏览器更加高效。
HTTP 协议是以明文方式发送信息的,如果黑客截取了 Web 浏览器和服务器之间的传输报文,就可以直接获得其中的信息。
HTTP是一个基于TCP/IP通信协议来传递数据的协议,传输的数据类型为HTML 文件,、图片文件, 查询结果等。
HTTP协议一般用于B/S架构。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。
HTTPS:
HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer)是以安全为目标的 HTTP 通道,是 HTTP 的安全版。
HTTPS 的安全基础是 SSL。SSL 协议位于 TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。
SSL 协议可分为两层:
SSL 记录协议(SSL Record Protocol),它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
SSL 握手协议(SSL Handshake Protocol),它建立在 SSL 记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
HTTP
HTTP容易将用户的访问置于非安全状态,当使用HTTP的方式连接网站时,浏览器寻找连接网站的IP地址,当用户连接到IP地址时,认为连接到正确的web服务器,此时,这种连接方式中的数据是以明文的方式进行发送。如果网络中的窃听者,也就是网络服务提供者,或者政府的一些情报机构可以查看到用户所访问的网页以及来回传输的数据。
这种不安全的连接方式,容易造成重定向到骗子网站中,也浑然不知,所以密码以及一些卡号不应该通过HTTP的连接方式进行传输发送,容易被网络窃听者截取。
HTTPS
HTTPS比HTTP安全,当用户连接到 HTTPS 安全的服务器时,如像银行这样的安全站点将自动重定向到 HTTPS — Web 浏览器会检查网站的安全证书并验证它是由合法的证书颁发机构颁发的,比如浏览器访问"https://xxx.bank.com",此时用户实际上连接到的也就是银行的真实网站,公司为此颁发安全证书,但证书颁发机构有时会颁发错误证书,并且系统崩溃。
当用户通过 HTTPS 连接发送敏感信息时,任何人都无法在传输过程中窃听这些信息。HTTPS可以确保用户安全的使用网上银行和购物。
HTTPS还为正常的 Web 浏览提供了额外的隐私。例如,谷歌的搜索引擎现在默认为HTTPS连接。这意味着人们无法看到用户在Google.com上搜索的内容。维基百科和其他网站也是如此。