HTTP——学习笔记（5）

咱们通讯的过程当中会有哪些风险？：

1.HTTP不会对通讯方的身份进行确认

　　由于HTTP协议中的请求和相应不会对通讯方进行确认，就是无论发送或接收信息的人是否是以前的人，都不妨碍信息的发送或接收。

　　缺点：1.没法肯定请求发送至目标的WEB服务器是不是按真实意图返回响应的那台服务区。有多是已假装的WEB服务器

　　　　　2.没法肯定响应返回到的客户端是不是按真是意图接受响应的那个客户端。有多是已假装的客户端

　　　　　3.没法肯定正在通讯的对方是否具有访问权限。由于某些WEB服务器上保存着重要的信息，只想发给特定用户通讯的权限

　　　　　4.没法断定请求是来自何方，出自谁手

　　　　　5.即便是无心义的请求也会照单全收。没法阻止海量请求下的DOS攻击（Denial of Service，拒绝服务攻击）

2.接受到的内容可能有误

　　HTTP中没有任何办法确认发出的请求响应和接受到的请求响应是先后相同的，其在发送的过程当中有可能会发生被篡改，像这样，请求或响应在传输途中，遭攻击者拦截并篡改内容的攻击称为中间人攻击

 

http中信息的安全性怎样提升的？：

通讯加密：

　　经过SSL或TLS组合使用，加密HTTP的通讯内容，用SSL组合使用的HTTP被称为HTTPS（超文本传输安全协议）或HTTP over SSL。注意是将通讯线路加密

内容加密：

　　HTTP协议中没有加密机制，因此也能够对HTTP协议传输的内容自己加密，即把HTTP报文里所含的内容进行加密处理，客户端须要对HTTP报文进行加密处理后再发送。采用这种加密机制必需要求客户端和服务器同时具有加密和解密机制。注意因为这种方式只是对内容进行加密，因此仍有被篡改的风险。

 

SSL是怎样保证通讯安全的？：

SSL不只提供加密处理，还使用了一种证书手段，可用于肯定方

证书由值得信任的第三方机构颁发，用以证实服务器和客户端是实际存在的。另外，伪造证书从技术角度来讲是异常困难的一件事。因此只要可以确认通讯方（服务器或客户端）持有的证书，便可判断通讯方的真实意图。

服务器端使用证书能够减小客户端的我的信息泄漏的危险性

客户端持有证书能够完成我的身份的确认，也可用于对WEB网站的认证环节

 

怎样防止通讯内容在传输过程当中被篡改？：

MD5和SHA-1等散列值校验的方法

　　原理：提供文件下载服务的WEB网站提供相应的以PGP（完美隐私）建立的数字签名及MD5算法生成的散列值。PGP是用来证实建立文件的数字签名，MD5是由单向函数生成的散列值。不论使用那一种方法，都须要操纵客户端的用户本人亲自检查验证下载的文件是否就是原来服务器上的文件，浏览器没法自动帮用户检查。

　　缺点：用这种方法也不能百分百保证结果正确，由于PGP和MD5自己也有可能被改写