HTTP和HTTPS
用户访问并登录网站过程
用户访问网站需要在网站上填写用户名和密码,然后这些信息会发送给服务器,这就是我们常说的HTTP协议。
但是由于HTTP协议没有任何安全措施,账号和密码有可能会被危险因素给拦截或者窃取下来。
所以为了解决HTTP协议在传输过程中不加密的问题,延伸出了https协议。
HTTPS是在HTTP协议的基础上,增加了SSL协议。
SSL协议是一个网络连接加密协议,为的是提供数据传输过程中的完整性和安全性。
假设我们访问了前缀是HTTPS的网站,用户就先会和网站服务器之间建立一个安全通道。
接着,网站服务器会发送一份证书给用户,向用户证明所访问的服务器没有问题。
确认了证书信息之后,网站服务器会自动生成一个箱子,并给箱子配备两把钥匙。钥匙A留给服务器自己,钥匙B连同箱子一起发送给用户电脑。
用户收到开着的箱子和钥匙B后,将自己的账号和密码等信息写好放入箱子中,并锁好箱子。将上锁的箱子再返回发送给服务器。
最后,网站服务器可以用钥匙A打开这个带锁的箱子以保证信息安全。即使中途有危险因素拦截或者截取,也很难打开箱子。
名词解释:
HTTP(HyperText Transfer Protocol)超文本传输协议
互联网上查看网页的协议。
如果在浏览器网址栏中输入网址:
在此协议中,所有信息都以明文(clear text)的形式发送。在用户在网站上输入的任何文本都是通过公共互联网进行传输。所以非常容易遭受危险因素袭击。
如果是填写一些普通信息倒还好,但是如果是填写姓名、地址、电话号码和银行卡密码等敏感信息就会很容易遭受侵害。
HTTPS(Secure HyperText Transfer Protocol)安全超文本传输协议
HTTPS协议会加密由HTTP传输的数据,通过是数据不可读(加密算法,打乱数据),来实现信息安全。
-
用户计算机使用HTTPS协议来浏览网站,在网站上填写了有关信息。
-
通过加密算法来使得信息变为一串看不懂的密文。
SSL(Secure Socket Layer)安全套接层
SSL使用公钥加密保护数据。
-
用户计算机首先让网页证明自己网站的身份。
-
然后网站服务器会发送一个SSL证书,他是一种小型数字证书,用于验证网站的身份:让用户知道所访问的网站是可信的。
-
户计算机的浏览器对SSL证书进行检查。
-
如果可信,用户计算机将会给网页服务器发送一条信息。
-
网页服务器发回一个确认作为响应,接下来就可以继续使用SSL了。