我們通訊的過程中會有哪些風險?:
1.http不會對通訊方的身份進行確認
因為http協議中的請求和相應不會對通訊方進行確認,就是不管傳送或接收資訊的人是不是之前的人,都不妨礙資訊的傳送或接收。
缺點:1.無法確定請求傳送至目標的web伺服器是否是按真實意圖返回響應的那台服務區。有可能是已偽裝的web伺服器
2.無法確定響應返回到的客戶端是否是按真是意圖接受響應的那個客戶端。有可能是已偽裝的客戶端
3.無法確定正在通訊的對方是否具備訪問許可權。因為某些web伺服器上儲存著重要的資訊,只想發給特定使用者通訊的許可權
4.無法判定請求是來自何方,出自誰手
5.即使是無意義的請求也會照單全收。無法阻止海量請求下的dos攻擊(denial of service,拒絕服務攻擊)
2.接受到的內容可能有誤
http中沒有任何辦法確認發出的請求響應和接受到的請求響應是前後相同的,其在傳送的過程中有可能會發生被篡改,像這樣,請求或響應在傳輸途中,遭攻擊者攔截並篡改內容的攻擊稱為中間人攻擊
http中資訊的安全性怎樣提高的?:
通訊加密:
通過ssl或tls組合使用,加密http的通訊內容,用ssl組合使用的http被稱為https(超文字傳輸安全協議)或http over ssl。注意是將通訊線路加密
內容加密:
http協議中沒有加密機制,所以也可以對http協議傳輸的內容本身加密,即把http報文裡所含的內容進行加密處理,客戶端需要對http報文進行加密處理後再傳送。採用這種加密機制必須要求客戶端和伺服器同時具備加密和解密機制。注意由於這種方式只是對內容進行加密,所以仍有被篡改的風險。
ssl是怎樣保證通訊安全的?:
ssl不僅提供加密處理,還使用了一種證書手段,可用於確定方
證書由值得信任的第三方機構頒發,用以證明伺服器和客戶端是實際存在的。另外,偽造證書從技術角度來說是異常困難的一件事。所以只要能夠確認通訊方(伺服器或客戶端)持有的證書,即可判斷通訊方的真實意圖。
伺服器端使用證書可以減少客戶端的個人資訊洩漏的危險性
客戶端持有證書可以完成個人身份的確認,也可用於對web**的認證環節
怎樣防止通訊內容在傳輸過程中被篡改?:
md5和sha-1等雜湊值校驗的方法
缺點:用這種方法也不能百分百保證結果正確,因為pgp和md5本身也有可能被改寫
HTTP學習筆記5 常用報頭
24,在普通報頭中,有少數報頭域應用域所有的請求和響應訊息,但並不用於被傳輸的實體,這些報頭域只用於傳輸的訊息。25,常用的普通報頭 cache control cache control普通報頭域用於指定快取指令,該指令將被請求 響應鏈中所有的快取機制所遵循。這些指令覆蓋預設的快取規則。注意 ca...
HTTP學習筆記 HTTP報文
如果說http是網際網路的信使,那麼http報文就是運送的包裹。所有的http程式都是通過互相傳送報文來完成工作的。本文將介紹http報文的流動方式,報文的組成部分,請求和響應報文之間的區別等。http報文是在http應用程式之間傳送的資料塊,這些資料塊以文字形式存在,以描述了報文的內容及含義的元資...
HTTP學習筆記 HTTP協議
tcp ip協議按層次分為四層 應用層,傳輸層,網路層,資料鏈路層。該層決定了向使用者提 用服務時通訊的活動。如ftp和dns服務等。傳輸層有兩個性質不同的協議 tcp和udp協議。網路層的作用就是計算機之間通過網路裝置進行傳輸時,選擇一條傳輸路線。用來處理連線網路的硬體部分,硬體上的範疇均在該層的...