确保Web安全的HTTPScopyright《图解HTTP》读书笔记

• HTTP的缺点
  • 明文通信，内容可能被窃听
    • TCP/IP是可能被窃听的网络
    • 加密处理防窃听
      • 通信的加密(通道加密)：SSL、TLS
      • 内容的加密：前提是双端的加密解密机制
  • 不验证通信方的身份，因此可能遭遇伪装
    • 任何人都可以发起请求，隐患如下
      • Web服务器伪装
      • 客户端伪装
      • 是否有访问权限
      • 请求来自何方，出自谁手
      • 接收无意义的请求，DoS攻击
    • 查明对手的证书
      • SSL：不仅提供加密处理，还使用一种手段–证书，用于确定通信方的真实意图
      • 客户端完成个人身份的确认也可以持有证书，用于Web网站的认证环节
  • 无法证明报文的完整性，所以报文可能被篡改(完整性：信息的准确性)
    • 接收到的内容可能有误
      • MITM中间人攻击
    • 如何防止篡改
      • MD5、SHA-1等散列值校验的方法，以及用来确认文件的数字签名方法
      • 提供文件下载服务的Web网站会提供相应的以PGP(pretty good privacy完美隐私)创建的数字签名及MD5算法生成的散列值。PGP是用来创建文件的数字签名，MD5是由单向函数生成的散列值
• HTTPS = HTTP + 加密 + 认证 +完整性的保护
  • HTTPS
    • HTTP Secure
  • 身披SSL外壳的HTTP
    • HTTPS并非是应用层的新协议，HTTP通信接口部分用SSL和TLS协议代替
    • SSL是应用最为广泛的网络安全技术，可以和应用层的其他协议搭配
  • 公开密钥加密技术：相互交换密钥
    • Public-key cryptography公开密钥加密：加密算法是公开的，而密钥确实保密的
    • 共享密钥加密的困境
      • Common key crypto system，加密解密通用一个密钥，也称为对称密钥加密
    • 使用两把密钥的公开密钥加密
      • 公开密钥加密使用一对非对称的密钥，一把叫做私有密钥，一把叫做公开密钥
      • 使用公开密钥进行加密，使用私有密钥进行解密，公开密钥可以转交任何人
    • HTTPS采用混合加密机制
      • 公开密钥加密处理速度比共享密钥加密要慢
      • 交换密钥环节使用公开密钥加密，之后建立通信交换报文阶段使用共享密钥加密
      • 把用共享密钥加密发送报文同时携带的密钥交换过程进行公开密钥加密
  • 证明公开密钥正确性的证书
    • 怎么证明公开密钥是真的公开密钥？公开密匙证书
  • HTTPS的安全通信机制