HTTP的缺點(diǎn)

• 通信使用明文（不加密），內(nèi)容可能會(huì)被竊聽(tīng) 不驗(yàn)證通信方的身份，因此有可能遭遇偽裝 無(wú)法證明報(bào)文的完整性，所以有可能已遭篡改

TCP/IP 是可能被竊聽(tīng)的網(wǎng)絡(luò)

• 按 TCP/IP 協(xié)議族的工作機(jī)制，通信內(nèi)容在所有的通信線路上都有 可能遭到窺視。
• 即使已經(jīng)過(guò)加密處理的通信，也會(huì)被窺視到通信內(nèi)容，這點(diǎn)和未 加密的通信是相同的。只是說(shuō)如果通信經(jīng)過(guò)加密，就有可能讓人 無(wú)法破解報(bào)文信息的含義

加密處理防止被竊聽(tīng)

• 一種方式就是將通信加密。HTTP 協(xié)議中沒(méi)有加密機(jī)制，但可以通過(guò)和 SSL（Secure Socket Layer，安全套接層）或 TLS（Transport Layer Security，安全層傳輸協(xié)議）的組合使用。與 SSL組合使用的 HTTP 被稱為 HTTPS（HTTP Secure，超文本傳輸安全協(xié)議）或 HTTP over SSL
• 內(nèi)容的加密，還有一種將參與通信的內(nèi)容本身加密的方式，即把 HTTP 報(bào)文里所含的內(nèi)容進(jìn)行加密處理。

HTTP 協(xié)議中的請(qǐng)求和響應(yīng)不會(huì)對(duì)通信方進(jìn)行確認(rèn)

• 在 HTTP 協(xié)議通信時(shí)，由于不存在確認(rèn)通信方的處理步驟，任何 人都可以發(fā)起請(qǐng)求。服務(wù)器只要接收到請(qǐng)求，不管對(duì)方是 誰(shuí)都會(huì)返回一個(gè)響應(yīng)
• 有可能是已偽裝的 Web 服務(wù) 器。
• 有可能是已偽裝的客戶端。
• 無(wú)法確定正在通信的對(duì)方是否具備訪問(wèn)權(quán)限。
• 即使是無(wú)意義的請(qǐng)求也會(huì)照單全收。無(wú)法阻止海量請(qǐng)求 下的 DoS 攻擊

DoS攻擊(拒絕服務(wù))是指故意的攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或直接通過(guò)野蠻手段殘忍地耗盡被攻擊對(duì)象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)或資源訪問(wèn)，使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰，而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開(kāi)放的進(jìn)程或者允許的連接。這種攻擊會(huì)導(dǎo)致資源的匱乏，無(wú)論計(jì)算機(jī)的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的速度多快都無(wú)法避免這種攻擊帶來(lái)的后果?！綝DOS是DOS攻擊中的一種方法?！?/p>

• 查明對(duì)手的證書(shū)。雖然使用 HTTP 協(xié)議無(wú)法確定通信方，但如果使用 SSL則可以。 SSL不僅提供加密處理，而且還使用了一種被稱為證書(shū)的手段， 可用于確定方。

無(wú)法證明報(bào)文完整性，可能已遭篡改

• 接收到的內(nèi)容可能有誤。比如，從某個(gè) Web 網(wǎng)站上下載內(nèi)容，是無(wú)法確定客戶端下載的 文件和服務(wù)器上存放的文件是否前后一致的。文件內(nèi)容在傳輸途 中可能已經(jīng)被篡改為其他的內(nèi)容。
• 如何防止篡改。為了有效防止這些弊端，有必要使用 HTTPS。SSL提供認(rèn)證和加 密處理及摘要功能。

HTTPS

HTTP 加上加密處理和認(rèn)證以及完整性保護(hù)后即是 HTTPS

HTTPS 是身披 SSL 外殼的 HTTP

• SSL是獨(dú)立于 HTTP 的協(xié)議，所以不光是 HTTP 協(xié)議，其他運(yùn)行在應(yīng) 用層的 SMTP 和 Telnet 等協(xié)議均可配合 SSL協(xié)議使用。可以說(shuō) SSL是 當(dāng)今世界上應(yīng)用最為廣泛的網(wǎng)絡(luò)安全技術(shù)

相互交換密鑰的公開(kāi)密鑰加密技術(shù)

• 共享密鑰加密
• 使用兩把密鑰的公開(kāi)密鑰加密 共有/私有

HTTPS 采用混合加密機(jī)制