详解Http Https

一般的网站网址前面都是http开头如：http://www.chinaz.com/, 安全性比较搞的网站会以https开头如：https://www.baidu.com。

首先谈谈什么是HTTPS：

     HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版。 它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。

     HTTPS中文含义为“超文本传输协议在安全加密字层”，简单来说就是加密数据传输，通俗的说就是安全连接。

    HTTPS安全超文本传输协议，它是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版。

https和http有什么区别

●https更安全

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全。

●https需要申请证书

https协议需要到ca申请证书，一般免费证书很少，需要交费，费用大概与.COM域名差不多，每年需要交大约几十元的费用。而常见的http协议则没有这一项；

●端口不同

http使用的是大家最常见的80端口，而https连接使用的是443端口；

●状态不同

http的连接很简单,是无状态的。而HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全。

在上网上搜了一下http采用明文传送数据对安全性的影响：

由于HTTP本身不具备加密的功能，所以也无法做到对通信整体（使用HTTP协议通信的请求和响应的内容）进行加密。即，HTTP报文使用明文（指未经过加密的报文）方式发送。

关于HT T P 协议的明文数据传输，攻击者最常用的攻击手法就是网络嗅探，试图从传输过程当中分析出敏感的数据，例如管理员对We b 程序后台的登录过程等等，从而获取网站管理权限，进而渗透到整个服务器的权限。即使无法获取到后台登录信息，攻击者也可以从网络中获取普通用户的隐秘信息，包括手机号码，身份证号码，信用卡号等重要资料，导致严重的安全事故。进行网络嗅探攻击非常简单，对攻击者的要求很低。使用网络发布的任意一款抓包工具，一个新手就有可能获取到大型网站的用户信息。

另外，HT T P 协议在传输客户端请求和服务端响应时，唯一的数据完整性检验就是在报文头部包含了本次传输数据的长度，而对内容是否被篡改不作确认。因此攻击者可以轻易的发动中间人攻击，修改客户端和服务端传输的数据，甚至在传输数据中插入恶意代码，导致客户端被引导至恶意网站被植入木马。攻击者通过AI L P   S p o o f 欺骗被攻击者所在网段的网关 ( 或直接在网络上发布所谓的免费HT T P代理 ) ，将本应直接传输的H T T P数据发送给了中间人攻击者，攻击者开始代理整个过程，可随意篡改插入数据。

攻击者劫持并修改了数据，但是由于缺乏数据完整性检验能力，H T T P协议感觉不到任何的异常。

加密处理防止被窃听：

1.通信的加密
       一种方式就是将通信加密。HTTP协议中没有加密机制，但可以通过和SSL（Secure Socket Layer，安全套接层）或TLS（Transport Layer Security，安全层传输协议）的组合使用，加密HTTP的通信内容。

用SSL建立安全通信线路之后，就可以在这条线路上进行HTTP通信了。与SSL证书组合使用的HTTP被称为HTTPS（HTTP Secure，超文本传输安全协议）或HTTP over SSL。

2.数据完整性校验

S S L 使用一种很健壮的信息验证码，例如MD5 ，或者S HA 一 1 算法来对数据进行签名，验证码被放在数据包的后部，并且和数据一块被加密，这样在数据被篡改时会由于HAS H值的改变而被发现。

摘自：

http://zhan.renren.com/cthhyey?gid=3602888497994945376&checked=true

http://www.ert7.com/service/knowledge/4271.html