05 确保Web安全的HTTPS

最新推荐文章于 2022-09-05 12:46:23 发布
最新推荐文章于 2022-09-05 12:46:23 发布
阅读量114 收藏
点赞数
分类专栏: 网络专题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44499465/article/details/115311720
版权
本文探讨了HTTP的三大缺点:明文通信易被窃听,缺乏身份验证导致伪装风险,及无法保障报文完整性。通过揭示HTTPS如何通过加密、认证和完整性保护来弥补这些不足,强调HTTPS在现代互联网安全中的核心地位。
摘要由CSDN通过智能技术生成

1.HTTP 的缺点

2.通信使用明文(不加密),内容可能会被窃听

3.不验证通信方的身份,因此有可能遭遇伪装

4.无法证明报文的完整性,所以有可能已遭篡改

5.HTTP+加密+认证+完整性保护=HTTPS

1.HTTP 的缺点

  • 通信使用明文(不加密),内容可能会被窃听
  • 不验证通信方的身份,因此有可能遭遇伪装
  • 无法证明报文的完整性,所以有可能已遭篡改

2.通信使用明文可能会被窃听

由于HTTP本身不具备加密的功能,所以也无法做到对通信整体进行加密。即,HTTP报文使用明文的方式发送。

2-1 TCP/IP 是可能被窃听的网络
  • 由于通信线路上的某些网络设备、光缆、计算机都不可能是个人的私有物,所有不排除某个环节中会遭到恶意窥视行为。
  • 即使是通过加密处理的通信,也会被窥视到通信内容,只是别人拿到的是经过加密的内容可能破解不了。
2-2 加密处理防止被窃听
  1. 通信的加密
  2. 内容的加密

通信的加密

  • HTTP协议中没有加密机制,可以通过和SSL(安全套接层)或TLS(安全传输层协议)组合使用。
  • 用SSL建立安全通信线路后,就可以在这条线路上进行HTTP通信了。
  • 与SSL组合使用的HTTP被称为HTTPS。

内容的加密

  • 即对HTTP报文里所含有的内容进行加密处理。
  • 前提是需要客户端和服务器端同时具备加密和解密的机制
  • 但是还是会有被篡改的风险

3.不验证通信方的身份,因此有可能遭遇伪装

3-1 任何人都可发起请求

在HTTP协议通信时,由于不存在确认通信方的处理步骤,任何人都可以发起请求;
服务器只要接收到请求,不管是谁都会响应(除非发送端被web服务器限制访问)
因此会存在一下隐患:

  • 无法确定请求发送至目标的web服务器是伪装的还是真实的(原本要访问的)
  • 无法确定接收响应的客户端是伪装的还是真实的。
  • 无法确定正在通信的对方是否具备访问权限。
  • 无法判定请求是来自何方。
  • 即使是无意义的请求也会照单全收,无法阻止海里请求下的Dos(拒绝服务攻击)
3-2 查明对手的证书
  • SSL不仅提供加密处理,而且还使用了一种被称为证书的手段,用于确认通信方
  • 证书由值得信任的第三方机构颁发,用以证明服务器端和客户端时实际存在的
  • 客户端在开始通信前先确认服务器的证书以确认服务器端身份
  • 客户端持有证书完成个人身份的确认

4.无法证明报文的完整性,所以有可能已遭篡改

由于HTTP协议没法证明通信的报文的完整性,因此在请求或响应发出后知道对方接收之前的这段时间内,即使请求或响应的内容遭到篡改,也没有办法获悉。

4-1 如何防止篡改
  • 用MD5和SHA-1 等散列值校验
  • 用数字签名确认文件

5.HTTP+加密+认证+完整性保护=HTTPS

_wayliu
关注
专栏目录
网络安全-Web安全协议
A soul tortured by desire
09-16 5812
大家上网娱乐或办公总是离不开浏览器,也就是从web端访问各个网站,其安全的重要性与其使用的广泛性成正比。本文就web端常见的相关安全协议分享。
利用HTTPS协议加密web传输
06-20
注意:在生产环境中,需要使用具有资质的机构颁发的 SSL 证书,以便确保网站的安全。 知识点总结: 1. HTTPS 协议是基于 TLS/SSL 协议的加密协议,它可以保护 web 传输的安全。 2. 搭建 apache2 服务需要使用 ...
app此服务器的证书无效 伪装,解决[服务器证书无效, 连接伪装服务器]问题
weixin_39889337的博客
07-29 4932
今天遇到一个问题, 在验证手机号时, 发送验证码的时候异常, 请求失败, 并提示如下错误[code]Error Domain=NSURLErrorDomainCode=-1202 此服务器的证书无效。您可今天遇到一个问题, 在验证手机号时, 发送验证码的时候异常, 请求失败, 并提示如下错误[code]Error Domain=NSURLErrorDomainCode=-1202 "此服务器的证书...
HTTPS:确保Web安全
Baron的博客
10-30 3225
参考书籍:《图解HTTP》 HTTP的不足 (1)通信使用明文可能会被窃听 HTTP本身不具备加密的功能,无法对通信整体加密,即HTTP使用的是明文方式发送 加密技术可以防止被窃听 加密对象: 通信的加密 HTTP和SSL的组合被称为HTTPS 内容的加密 要求客户端和服务器同时具有加密和解密的机制 (2)可能遭遇伪装 解决方法:SSL不仅提供了加密处理,而且使用了一种被称为证书的手段,可用于确定方 (3)无法证明报文完整性,可能已经遭遇篡改 请求或响应在传输途中,遭攻击者拦截并篡改内容的攻击
确保Web安全HTTPS-HTTP(七)
抽象的螺旋
12-25 2535
概述 在HTTP协议中有可能存在信息窃听或身份伪装安全问题。使用HTTPS通信机制可以有效地防止这些问题。本章我们就了解一下HTTPS。 HTTP的缺点 到目前为止,我们已了解到HTTP具有相当优秀和方便的一面,然而HTTP并非只有好的一面,事物皆具两面性,它也是有不足之处的。 HTTP主要有这些不足,例举如下: 通信使用明文(不加密),内容可能会被窃听。 不验证通信方的身份,因此有可能遭遇伪装。 无法证明报文的完整性,所以有可能已遭篡改。 这些问题不仅在HTTP上出现,其他未加密的协议中也会存在这类问
确保 Web 安全HTTPS
Daci Studio
04-06 5816
HTTPS HTTP(超文本传输协议)可能存在窃听等一些安全问题,于是HTTPS应运而生。 HTTP 的缺点 通信使用明文(不加密),内容可能会被窃听 不验证通信方的身份,因此有可能遭遇伪装 无法证明报文的完整性,所以有可能已遭篡改 1)通信使用明文可能会被窃听: 由于 HTTP 本身不具备加密的功能,所以也无法做到对通信整体(使用 HTTP 协议通信的请求和响应的内容)进行加密。TCP...
【图解HTTP】确保WEB安全HTTPS
暮色年华的博客
09-05 3283
HTTPS
图解HTTP七:确保 Web 安全HTTPS
神薯片
06-06 5955
7.1 HTTP 的缺点 HTTP 主要有这些不足,例举如下。 通信使用明文(不加密),内容可能会被窃听 不验证通信方的身份,因此有可能遭遇伪装 无法证明报文的完整性,所以有可能已遭篡改 7.1.1 通信使用明文可能会被窃听 由于 HTTP 本身不具备加密的功能,所以也无法做到对通信整体(使用 HTTP 协议通信的请求和响应的内容)进行加密。即, HTTP 报文使用明文(指未经过加密的报文)方式发送。 TCP/IP 是可能被窃听的网络:即使已经过加密处理的通信,也会被窥视到通信内容,这点和未加密的通信是
确保web地址正确解决方案
热门推荐
技术老鸟
05-18 1万+
web地址无法访问
05.安全HTTPS
John是橘红的博客
04-05 4213
安全HTTPS 1. HTTP 与 HTTPS 如果在 HTTP 协议通信过程中使用未经加密的明文,比如在 Web 页面中输入信用卡号,如果这条通信线路遭到窃听,那么信用卡号就暴露了。 另外,对于 HTTP 来说,服务器也好,客户端也好,都是没有办法确认通信方的。因为很有可能并不是和原本预想的通信方在实际通信。并且还需要考虑到接收到的报文在通信途中已经遭到篡改这一可能性。 为了统一解决上述这些问题,需要在 HTTP 上再加入加密处理和认证等 机制。我们把添加了加密及认证机制的 HTTP 称为 HTTPS
Https网络安全传输详解
踩踩踩从踩的博客
11-01 7513
前言 本篇文章会主要介绍网络中数据安全传输,加密算法,Https如何保证数据传输安全,SSL证书解析,CA认证流程,OpenSSL,Nginx中实现高性能Https。 数据加密技术 加密算法之对称加密(AES加密) 及在jdk中应用_踩踩踩从踩的博客-CSDN博客_jdk对称加密 加密算法之安全hash算法、RSA非对称加密算法分析_踩踩踩从踩的博客-CSDN博客 都是从原理上去分析几个加密技术,包括对称加密、一致性hash算法、非对称加密。 Http安全性能 HTTP HTTP协议,即超
web安全技术-实验一:burp的安装和https包的抓取.doc
08-20
Web安全技术是保护网站及其用户免受恶意攻击和数据泄露的重要领域。实验一的主题是“Burp Suite的安装和HTTPS包的抓取”,这是一项基础的网络安全实践,旨在教会学生如何利用工具检测和分析网络流量,尤其是加密的...
Web安全技术——HTTPS.pdf
09-14
Web安全技术——HTTPS详解》 HTTPS,全称HyperText Transfer Protocol Secure,是基于HTTP的安全协议,通过使用SSL/TLS协议来加密数据传输,确保网络通信的安全性。HTTPS的应用广泛,尤其是在互联网领域,如搜索...
web安全期末复习文档,看这一篇就够啦!!!
06-16
Web安全是IT领域一个至关重要的主题,特别是在当前数字化时代,Web应用程序已经成为信息处理的核心平台。然而,这些应用程序也面临着各种...通过深入研究和实践,你可以更好地保护Web应用程序,确保安全性和稳定性。
基于boost.asio库的C++http/https web server
07-27
在这个项目中,我们看到一个使用Boost.ASIO实现的Web服务器,它同时支持HTTP和HTTPS协议,这对于创建安全Web服务至关重要。 首先,我们需要理解Boost.ASIO库的核心概念。ASIO代表Asynchronous Service Input/...
第七章 时间分析 核电子学的应用
最新发布
10-02
核电子学是一门交叉学科,它结合了电子技术与核辐射探测技术,是电子学的一个重要分支。这门学科的发展始于20世纪初,随着核物理学和粒子物理学的发展而逐渐成熟。核电子学的研究对象包括辐射探测器及其相应的电子电路或系统、核信息的电子学测量技术、配有在线电子计算机的核电子系统、电子器件在核辐射下的辐射效应以及核技术应用中的辐射探测技术和电子技术。 核电子学的发展历史可以追溯到1958年,当时在贝尔格莱德召开的第一次国际核电子学会议上,核电子学的名称被正式采用。从那时起,核电子学开始广泛应用于核物理和粒子物理实验,同时也在核医学、空间科学、移动通信和全球定位系统等领域发挥着重要作用。 核电子学的研究内容包括: 1. 辐射探测器及其信号处理技术。 2. 核信息的测量技术,包括时间间隔测量、空间分辨等。 3. 核电子系统的设计与应用,如在线电子计算机系统。 4. 电子器件和系统的抗辐射加固技术。 5. 核技术在不同领域的应用,如工业、农业、医学等。 核电子学的应用非常广泛,例如在医学领域,它可以帮助诊断和治疗疾病;在工业领域,它用于检测材料的完整性和质量;在环境监测中,它用于检测放射性物质。此外
CPA 经济法 基础班 王碧波 第10章 滥用市场支配地位行为与经营者集中的反垄断控制.pdf
10-02
CPA 经济法 基础班 王碧波 第10章 滥用市场支配地位行为与经营者集中的反垄断控制.pdf
基于Baidu_Visual的动态条形图视频制作pipeline设计源码
10-02
该项目是一款基于Baidu_Visual技术的动态条形图视频制作pipeline设计源码,包含48个文件,其中包括14个PNG图片、12个CSV数据文件、10个HTML页面、8个Python脚本、2个ICO图标文件、1个LICENSE文件以及1个JavaScript文件。该系统主要使用HTML、Python和JavaScript语言编写,旨在实现动态条形图视频的自动化制作流程。
基于Java语言的科研立项与结项管理平台设计源码
10-02
该项目为基于Java语言的科研立项与结项管理平台设计源码,包含45个文件,其中包括36个Java源文件、4个XML配置文件、1个Git忽略文件、1个属性文件和1个Maven构建文件。该平台专注于科研项目的立项与结项管理,旨在提高科研项目管理效率。
HTTPS权威指南:Web安全深度解析
内容涉及如何使用OpenSSL生成密钥和进行安全验证,以及如何配置常见的Web服务器软件,如Apache httpd、IIS和Nginx,以确保它们的配置符合安全标准。 这本书不仅适用于Web开发人员,也适合系统管理员以及对Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值