移动开发通信之http/https概念-优缺点-选择

下面分三个模块介绍

A:http和https简单概念
B:http和https的优缺点
C:http和https如何选择

http简单概念:

超文本传输协议 (HTTP-Hypertext transfer protocol) :是一种详细规定了浏览器和万维网服务器之间互相通信的规则，通过因特网传送万维网文档的数据传送协议。
【默认80端口】

http

http优点:

1.http协议传输更简单，响应更快(相比https数次的握手和加密)。

http缺点:

1.http协议在传输数据时是明文的，任何人通过一个简单的抓包工具，就可以截获到所有传输数据。
2.http协议在传输数据时无法保证数据的完整，在截获到明文数据后，很容易就可以将其篡改，这也是一些网页总是被植入恶意广告的原因。
3.http协议在传输数据时无法保证真实性，这也是最恐怖的一点。误入了域名欺骗的钓鱼网站，极容易对用户带来财产损失。

结论：http协议存在较多安全隐患，对于安全性要求加高的公司，这是不能接受的，而实际上大公司在http上已有自己的加密传输协议，但是没有条件的小公司却很难做到。为了更好的服务，https可以推广的方案势在必行。

https简单概念:

简单理解 ：https = http协议 + TLS协议。【默认443端口】
在不改变HTTP协议原设计的基础上，为其添加安全性校验并对传输的数据进行加密，黑客篡改难度因此增大，安全性有了更大的提升（只是提升，并非一定安全）。

https

https优点:

1、使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器;
2、HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。
3、HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

https缺点:

1.https通信效率比http慢。没办法啊，提高安全就要牺牲性能。
2.相同网络环境下，HTTPS协议会使页面的加载时间延长近50%，增加10%到20%的耗电（数据不一定准确，肯定是有）。此外，HTTPS协议还会影响缓存，增加数据开销和功耗。
3.https协议的安全是有范围的，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。
4.最关键的，SSL 证书的信用链体系并不安全。特别是在某些国家可以控制 CA 根证书的情况下，中间人攻击一样可行。
5.https是收费的。（这个作为缺点的一个原因是，不同费用的证书安全性不一样，有些人以为配置了https效果都一样，反而放松安全警惕性）

https成本方面

1.SSL的专业证书需要购买，功能越强大的证书费用越高。个人网站、小网站可以选择入门级免费证书。
2.SSL 证书通常需要绑定 固定IP，为服务器增加固定IP会增加一定费用;
3.HTTPS 连接服务器端资源占用高较高多，相同负载下会增加带宽和服务器投入成本;
4.https需要增加升级开发成本。

结论：https优点很明显，在目前方案中，建议配置https。
但是，配置https并非可以高枕无忧，进一度安全加密也不可少，因为https并非绝对安全的。

那么该如何选择？

调研结果

调研用户观点：
（1）正方观点
1、HTTPS具有更好的加密性能，避免用户信息泄露;
2、HTTPS复杂的传输方式，降低网站被劫持的风险;
3、搜索引擎已经全面支持HTTPS抓取、收录，并且会优先展示HTTPS结果;
4、从安全角度来说个人觉得要做HTTPS，不过HTTPS可以采用登录后展示;
5、HTTPS绿锁表示可以提升用户对网站信任程度;
6、基础成本可控，证书及服务器已经有了成型的支持方案;
7、网站加载速度可以通过cdn等方式进行弥补，但是安全不能忽略;
8、HTTPS是网络的发展趋势，早晚都要做;
9、可以有效防止山寨、镜像网站;

（2）反方观点
1、HTTPS会降低用户访问速度，增加网站服务器的计算资源消耗;
2、目前搜索引擎只是收录了小部分HTTPS内容，应该保持观望制度;
3、HTTPS需要申请加密协议，增加了运营成本;
4、百度目前对HTTPS的优先展现效果不明显，谷歌较为明显;
5、技术门槛较高，无从下手;
6、目前站点不涉及私密信息，无需HTTPS;
7、兼容性有待提升，如robots不支持/联盟广告不支持等;
8、HTTPS网站的安全程度有限，该被黑还是被黑;
9、HTTPS维护比较麻烦，在搜索引擎支持HTTP的情况，没必要做HTTPS;

结论：
17.18%赞成，82.82%不赞成。用户就是这么任性，不做，不做，就不做，。
综合考虑：建议公司还是使用https吧！

移动开发通信之https加密协议SSL/TLS理解
移动开发通信之get/post理解和使用
移动开发通信之API接口安全设计

参考：
百度百科。
http://www.chinaz.com/web/2017/0224/663236.shtml
https://my.oschina.net/u/2340880/blog/807358