http协议中可能存在信息窃听或者身份伪装等安全问题,
http主要有这些不足:
1、 通信使用明文(不加密),内容可能会被窃听
由于 HTTP 本身不具备加密的功能,所以也无法做到对通信整体(使 用 HTTP 协议通信 的请求和响应的内容)进行加密。即,HTTP 报文 使用明文(指未经过加密的报文)方 式发送。
TCP/IP 是可能被窃听的网络 如果要问为什么通信时不加密是一个缺点,这是因为,按TCP/IP 协议族的工作机制,通信内容在所有的通信线路上都有 可能遭到窥视。 所谓互联网,是由能连通到全世界的网络组成的。无论世界哪个 角落的服务器在和客户端通信时,在此通信线路上的某些网络设 备、光缆、计算机等都不可能是个人的私有物,所以不排除某个 环节中会遭到恶意窥视行为。 即使已经过加密处理的通信,也会被窥视到通信内容,这点和未 加密的通信是相同的。只是说如果通信经过加密,就有可能让人 无法破解 报文信息的含义,但加密处理后的报文信息本身还是会 被看到的
2、不验证通信方的身份就可能遭遇伪装
HTTP 协议中的请求和响应不会对通信方进行确认。也就是说存在“服 务器是否就是发送请求中 URI 真正指定的主机,返回的响应是否真的 返回 到实际提出请求的客户端”等类似问题。
任何人都可发起请求
在 HTTP 协议通信时,由于不存在确认通信方的处理步骤,任何 人都可以发 起请求。另外,服务器只要接收到请求,不管对方是 谁都会返回一个响应(但也仅限于发送端的 IP 地址和端口号没 有被 Web 服务器设定限制访问的前提下)。
2.1、 无法确定请求发送至目标的 Web 服务器是否是按真实意 图返回响应的那台服务器。 有可 能是已伪装的 Web 服务 器。
2.2、无法确定响应返回到的客户端是否是按真实意图接收响 应的那个客户端。 有可能是已伪装 的客户端。
2.3、无法确定正在通信的对方是否具备访问权限。 因为某些 Web 服务器上保存着重要的信息只想发给特定用户通 信的权限。
2.4、 无法判定请求是来自何方、出自谁手。 即使是无意义的请求也会照单全收。 无法阻止海量请 求下的 DoS 攻击(Denial of Service, 拒绝服务攻击)。
3 无法证明报文完整性, 可能已遭篡改
由于 HTTP 协议无法证明通信的报文完整性,因此,在请求或响 应送出之后直到对方接收之前的这段时间内,即使请求或响应的 内容遭到篡改,也没有办法获悉。 换句话说,没有任何办法确认,发出的请求 / 响应和接收到的请 求 / 响应是前后相同的。
比如,从某个 Web 网站上下载内容,是无法确定客户端下载的 文件和服务器上存放的文件是否前后一致的。文件内容在传输途 中可能已经被篡改为其他的内容。即使内容真的已改变,作为接 收方的客户端也是觉察不到的。 像这样,请求或响应在传输途中,遭攻击者拦截并篡改内容的攻 击称为中间人攻击(Man-in-the-Middle attack,MITM)。
扫一扫
1001
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
