HTTP缺點有哪些,如何解決

来源:https://www.cnblogs.com/waldron/archive/2022/10/02/16748235.html
-Advertisement-
Play Games

前言 大家好,我是蝸牛,在上一篇中,我們介紹了不同版本的HTTP區別和發展背景,這篇文章我們來聊聊HTTP的缺點,HTTP缺點大致總結有以下三點: 通信使用明文(不加密),內容可能會被竊聽。 不驗證通信方的身份,因此有可能遭遇偽裝(客戶端和服務端都有可能) 無法證明報文的完整性,有可能會被篡改。 其 ...


前言

大家好,我是蝸牛,在上一篇中,我們介紹了不同版本的HTTP區別和發展背景,這篇文章我們來聊聊HTTP的缺點,HTTP缺點大致總結有以下三點:

  • 通信使用明文(不加密),內容可能會被竊聽。
  • 不驗證通信方的身份,因此有可能遭遇偽裝(客戶端和服務端都有可能)
  • 無法證明報文的完整性,有可能會被篡改。

其實以上問題不止HTTP有,其他未加密的協議也有此類問題,下麵就以上三點詳細介紹

通信使用明文(不加密),內容可能會被竊聽

因為HTTP不具備加密的功能,所以無法對通信報文進行加密,所以是使用明文進行發送,那麼就有可能被竊聽。

可以看到竊聽無處不在

竊聽的方式有多種,比較常見有抓包工具(Wireshark)或者嗅探器(Sniffer)等工具,進行竊聽。

下麵圖片是使用Wireshark抓取的數據:

如何防止

  • 通信的層加密

    通過HTTP與SSL/TLS的組合使用(SSL/TSS後續章節介紹),可以加密http通信內容。

  • 通信報文內容加密

    雙方約定好密鑰,在傳輸前對原報文進行一個加密,傳輸至服務端或客戶端在進行解密,因為此類方式不同於https方式,所以還是有一定的風險。

    • 密鑰不是一次一密,而且是內嵌在代碼中,都有可能被獲取。
    • 如果是基於瀏覽器的工程,那麼這個密鑰是內嵌在js中的,而js是可以訪問的,那麼就有可能被獲取。
    • 如果是app工程中,也有可能被反編譯獲取。

不驗證通信方的身份,因此有可能遭遇偽裝

HTTP協議的請求與響應不會對通信方進行身份的確認,因此這種無法確認通信方,總結有以下幾類問題:

  • 無法確定請求目標的Web伺服器是否,真正要訪問的伺服器。
  • 無法確定客戶端是否是真實要響應的客戶端。
  • 無法確定正在通信的雙方是否具備訪問許可權,比如:提供的WEB服務只想開發給指定的客戶端訪問。
  • 無法判定請求來自何方,出自誰手。
  • 即使是無意義的請求,也會照單全收。如海量的Dos攻擊。

如何防止

使用SSL才可以防止此類問題,SSL不僅提供加密功能,還提供證書,通過證書可以確定通信的方是意料之中的,這裡肯定有人會問那證書如何保證可信呢?

證書是有公認值得信賴的CA機構頒發的,其他機構是沒有頒發證書許可權的。CA機構是可信賴的,那麼頒發的證書也是可信賴的。

客戶端驗證服務端是否是可信的服務端,即單向認證。

客戶端與服務端相互認證,即雙向認證。

無法證明報文的完整性,有可能會被篡改

所謂完整性是指信息的準確度,無法證明完整性,那麼也就無法判定信息是否準確。

由於HTTP協議無法證明通信的完整性,那麼請求或者響應過程中報文就有可能被篡改,而服務端或者客戶端是無法感知的。

比如從網上下載的內容,是無法確認下載後的內容是否跟伺服器上的內容一致。

像這樣在請求/響應途中,遭攻擊者攔截並篡改內容攻擊,稱為中間人攻擊。

如何防止

  • 使用md5/sha1/pgp來確定報文完整性的方法

點擊下載後,可以查看對應文件簽名或者散列值,當我點擊MD5後,如下圖:

通過對下載後文件在通過MD5生成散列碼,與官網上的散列碼進行比較,來確定文件是否被篡改。

但是從其他方式證明此種方式也不是絕對安全的,具體可以參見:http://bobao.360.cn/news/detail/768.html大概意思就是構造”首碼碰撞法“,來製造MD5值一樣,文件內容不一樣的文件。

總結

HTTP雖然使用極為廣泛, 但是卻存在不小的安全缺陷, 主要是其數據的明文傳送和消息完整性檢測的缺乏, 而這兩點恰好是網路支付, 網路交易等新興應用中安全方面最需要關註的

因此為瞭解決以上問題需要和SSL/TLS相關協議組合,這就是HTTPS,下篇我們介紹HTTPS


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • Spring 5框架 一、Spring概念 1、Spring是輕量級的JavaEE框架 2、Spring可以解決企業應用開發的複雜性 3、Spring有兩個核心部分:IOC和AOP ​ 1)IOC:控制反轉,把創建對象過程交給Spring進行管理 ​ 2)AOP:面向切麵,不修改源代碼進行功能增強 ...
  • LinkList可以定義指向List的指針 1.當函數參數為LinkList L時,意味著只改變或操作List的內容,而不需要改變L這個指針 如 Status GetElem(LinkList L,int i,ElemType) 2.當參數為LinkList &L時,意味著需要改變或操作L這個指針本 ...
  • ♠ use C++11 倍數 若 $a,b,k \in \mathbb N$,且 $a \times k=b$,那麼 $b$ 是 $a$ 的倍數,稱 $a$ 整除 $b$,記作 $a \mid b$。 $[1,n]\in \mathbb N$ 中 $x \in \mathbb N$ 的倍數有 $\l ...
  • 本文講解了決策樹的創鍵的過程,包括熵,信息增益的計算,還有決策樹的創建,以及使用matplotlib讓決策樹可視化的詳細過程 ...
  • 設計模式的目的 編寫軟體過程中,程式員面臨著來自 耦合性,內聚性以及可維護性,可擴展性,重用性,靈活性 等多方面的 挑戰,設計模式是為了讓程式(軟體),具有更好 代碼重用性 (即:相同功能的代碼,不用多次編寫) 可讀性 (即:編程規範性, 便於其他程式員的閱讀和理解) 可擴展性 (即:當需要增加新的 ...
  • 給定一個不含重覆數字的數組 nums ,返回其 所有可能的全排列 。你可以 按任意順序 返回答案。 示例 1: 輸入:nums = [1,2,3] 輸出:[[1,2,3],[1,3,2],[2,1,3],[2,3,1],[3,1,2],[3,2,1]] 示例 2: 輸入:nums = [0,1] 輸 ...
  • 大家在看到這篇文章前,為了有一個舒適的c++IDE,一定感受到了Dev-c++的廉價感,Clion功能的多餘,VS的臃腫。他們也有自己的優點,但糟點太多,令人十分難受。而VS Code,可以取長補短。下麵的配置內容,可以讓你在刷題時,享受絲滑的動畫,體會集成終端的方便,讓你覺得Coding不再枯燥。 ...
  • resultMap處理欄位和屬性的映射關係 如果欄位名與實體類中的屬性名不一致,該如何處理映射關係? 第一種方法:為查詢的欄位設置別名,和屬性名保持一致 下麵是實體類中的屬性名: private Integer empId; private String empName; private Integ ...
一周排行
    -Advertisement-
    Play Games
  • 簡介 本文的初衷是希望幫助那些有其它平臺視覺演算法開發經驗的人能快速轉入Halcon平臺下,通過文中的示例開發者能快速瞭解一個Halcon項目開發的基本步驟,讓開發者能把精力完全集中到演算法的開發上面。 首先,你需要安裝Halcon,HALCON 18.11.0.1的安裝包會放在文章末尾。安裝包分開發和 ...
  • 本文是對Datawhale的動手學數據分析課程的學習總結,記錄了整體的學習過程、答案以及個人感想,代碼較為詳細。 ...
  • JZ7重建二叉樹 描述 給定節點數為 n 的二叉樹的前序遍歷和中序遍歷結果,請重建出該二叉樹並返回它的頭結點。 例如輸入前序遍歷序列{1,2,4,7,3,5,6,8}和中序遍歷序列{4,7,2,1,5,3,8,6} 提示: 1.vin.length == pre.length 2.pre 和 vin ...
  • 我們都知道在Java編程中多線程的同步使用synchronized關鍵字來標識,那麼這個關鍵字在JVM底層到底是如何實現的呢。 我們先來思考一下如果我們自己實現的一個鎖該怎麼做呢: 首先肯定要有個標記記錄對象是否已經上鎖,執行同步代碼之前判斷這個標誌,如果對象已經上鎖線程就阻塞等待鎖的釋放。 其次要 ...
  • 目錄 一.OpenGL 色階 1.Windows OpenGL ES 版本 2.Windows OpenGL 版本 二.OpenGL 色階 GLSL Shader 三.猜你喜歡 零基礎 OpenGL ES 學習路線推薦 : OpenGL ES 學習目錄 >> OpenGL ES 基礎 零基礎 Ope ...
  • 1. 查看Linux伺服器版本信息 # cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) 2. 禪道開源版安裝包下載 wget http://dl.cnezsoft.com/zentao/9.8.2/ZenTaoPMS.9.8. ...
  • Spring 框架可以為 Java 應用程式開發提供全面的基礎設施支持,它是現在非常流行的 Java 開源框架,對於一個 Java 開發人員來說,熟練掌握 Spring 是必不可少的。 ...
  • 前言 本篇是c++總結的第二篇,關於c++的對象模型,在構造、拷貝虛函數上重點分析,也包含了c++11class的新用法和特性,如有不當,還請指教! c++三大特性 訪問許可權 ​ 在c++中通過public、protected、private三個關鍵字來控製成員變數和成員函數的訪問許可權,它們分別表示 ...
  • 一.小結 1.使用二維數組來存儲表格 2.可以使用以下語法來聲明二維數組變數: 元素類型[ ] [ ]數組變數 3.可以使用以下語法來創建二維數組變數: new 元素類型 [行的個數][列的個數] 4.使用下麵的語法表示二維數組中的每個元素: 數組變數[行下標][列的個數] 5.可使用數組初始化語法 ...
  • typimg是一款為typora編輯器提供圖像自定義上傳服務的工具,該工具將在typora中輸入的網路圖片、本地圖片、剪貼板圖片/截圖上傳到博客園,支持在MacOS、Windiws、Linux三個平臺上運行。 ...