第七章：确保Web安全的HTTPS

• 7.1 HTTP的缺点
• • 7.1.1 通信使用明文可能会被窃听
  • 7.1.2 不验证通信方的身份就可能遭遇伪装
  • 7.1.3 无法证明报文完整性，可能已遭篡改
• 7.2 HTTP + 加密+认证+完整性保护=HTTPS
• • 7.2.1 HTTP加上加密处理和认证以及完整性保护后即是HTTPS
  • 7.2.2 HTTPS 是身披 SSL 外壳的 HTTP
  • 7.2.3 相互交换密钥的公开密钥加密技术
  • 7.2.4 证明公开密钥正确性的证书
  • 7.2.5 HTTPS 的安全通信机制

在HTTP协议中有可能存在信息窃听或身份伪装等安全问题。使用HTTPS通信机制可以有效地防止这些问题。

7.1 HTTP的缺点

• 通信使用明文（不加密），内容可能会被窃听
• 不验证通信方的身份，因此有可能遭遇伪装
• 无法证明报文的完整性，所以有可能已遭篡改

7.1.1 通信使用明文可能会被窃听

• TCP/IP 是可能被窃听的网络

即使已经加密处理的通信，也会被监视到通信内容，这点和未加密的通信是相同的，只是加密之后，别人是无法破解的。
下图就是常被使用的抓包工具Wireshark，可以获取HTTP协议的请求和响应中的内容，并对其进行解析。

• 加密处理防止被窃听

加密的对象有以下几个：

1. 通信的加密

HTTP协议中没有加密机制，但是可以通过和SSL（安全套接层）或TLS（安全层传输协议）的组合使用，加密HTTP的通信内容。

用SSL建立安全通信线路之后，就可以在这条线路上进行HTTP通信了。与SSL组合使用的HTTP被称为HTTPS（超文本传输安全协议）或HTTP over SSL。

2. 内容的加密

对HTTP协议传输的内容本身进行加密。

为了做到有效的内容加密，前提是要求客户端和服务器同时1具备加密和解密机制。主要应用在Web服务中。但是这种方式也有内容被篡改的风险。

7.1.2 不验证通信方的身份就可能遭遇伪装

• 任何人都可以发起请求
  

HTTP 协议的实现本身非常简单，不论是谁发送的请求都会返回响应，因此不确认通信方，会存在一下隐患。

- 无法确定请求发送至目标的Web服务器是否按真实的意图返回响应的那台服务器。有可能是已伪装的Web服务器。
- 无法确定响应返回的客户端是否是按真实意图接收响应的那个客户端。有可能是已伪装的客户端。
- 无法确定正在通信的双方是否具有访问权限。因为某些Web 服务器上保存着重要信息，只想发给特定用户通信的权限。
- 无法判断请求来自何方、出自谁手。
- 即使是无意义的请求也会照单全收。无法阻止海量请求下的DoS攻击（拒绝服务攻击）

• 查明对手的证书

虽然使用HTTP协议无法确定通信方，但如果使用SSL则可以。SSL不仅提供加密技术，而且还使用了一种被称为证书的手段，可用于确定方。证书由值得信任的第三方机构颁发。

7.1.3 无法证明报文完整性，可能已遭篡改

所谓完整性是指信息的准确度。

• 接收到的内容可能有误

请求或响应在传输中，遭攻击者拦截并篡改内容的攻击称为中间人攻击（MITM）。

• 如何防止篡改

其中最为常用的是MD5 和SHA-1 等散列值校验的方法，以及用来确认文件的数字签名方法。

为了有效的防止这些弊端，有必要使用HTTPS。SSL提供认证和加密处理及摘要功能。

7.2 HTTP + 加密+认证+完整性保护=HTTPS

7.2.1 HTTP加上加密处理和认证以及完整性保护后即是HTTPS

正如我们访问百度https://www.baidu.com/，浏览器的地址栏会出现一个带有

标签：Web,加密,读书笔记,证书,SSL,密钥,HTTP,公开密钥
来源： https://blog.csdn.net/weixin_45532227/article/details/112992115