接下来从上面三个特点来了解HTTP是怎么弥补这些不足之处的
首先我们要清楚,只要数据经过网络都会被看到,无非是通信的内容是否加密,即使被加密的报文也是会被窥视到的。
HTTP协议中没有加密机制,但可通过SSL或TLS加密HTTP的通信内容。
用SSL建立安全通信线路之后,就可以在这条线路上进行HTTP通信了。与SSL组合使用的HTTP被称为HTTPS(HTTP Secure,超文本传输安全协议)或HTTP over SSL。
内容加密顾名思义,就是对通信内容本身进行加密,而我们都知道一个HTTP报文中分为两部分,报文首部和报文主体,内容加密并不对首部加密,而是对报文主体进行加密,即只对通信的内容加密,这一点主要用于Web服务中。
对于HTTP服务器可以用一个成语描述——来者不拒
即只要有服务请求,HTTP服务器都会处理该请求并不验证对方身份,这既是其优点实现简单速度相对较快,也会造成以下安全隐患:
基于上述原因,SSL不仅提供加密处理,还使用了一种称为证书的手段,用于确定身份。
这种证书手段通过一个第三方的认证机构给服务器颁发证书,确保用户访问服务器的安全性,防止个人信息的泄露,而用户也同样可以持有证书,确保个人身份的确认。
我们大可不必担心证书是否被伪造,从技术角度来说伪造难度相当大,举个栗子:
我们在京东的自营店购物,是非常放心购物而不担心被骗的,因为他们有京东第三方的认证,而同样自营店也不用担心用户是否是骗子,因为我们大多经过实名认证。这里自营店就是服务器,我们就是客户端,京东就是第三方认证机构。
前面已经说过,HTTP因为明文传输加不验证双方身份,报文在双方传输过程中很可能被中间人劫持,从而伪造或篡改报文,这种攻击方式就是中间人攻击。
HTTP常用的方式为MD5和SHA-1等散列值校验法,以及用来确认文件的数字签名方法。
但是上述两种方法早在2004年和2005被山东大学的王小云教授团队所破解,感兴趣的话可以搜索MD5和SHA-1哈希碰撞,简单来说就是两个不同文件可能产生相同的MD5值。尽管证明这种算法不安全性,但在特定场合下这种算法依然被使用,例如邮件,通常发送的都是字符串内容,即使发生哈希碰撞最后出来的结果是一些乱码或者不相关的内容,因此对我们可以发现。
上一节解释了HTTP不全的应对方法,而HTTPS就是将上述的各类安全机制综合考虑的结果
HTTPS并不是一项新的协议,而是在HTTP与TCP中间加了一层SSL或TLS协议,通过SSL协议来让HTTPS用户加密、证书和完整性保护的功能。
加密和解密使用的是同一个密钥
服务器和客户端拿着同一把公钥对信息进行加密解密,但如果这个公钥被中间人拿到就可以轻易破解密码
非对称加密使用一对非对称的密钥,一把叫做公钥,一把叫做私钥。
为了解决上述问题,使用数字认证机构CA,即第三方公正,和其颁发的公开密钥证书,通过CA认证可以解决两件事
端口号(Port)标识了一个主机上进行通信的不同的应用程序。
在TCP/IP协议中, 用 “源IP”, “源端口号”, “目的IP”, “目的端口号”, “协议号” 这样一个五元组来标识一个通信(可以通过netstat -n查看)
0 - 1023: 知名端口号, HTTP, FTP, SSH等这些广为使用的应用层协议, 他们的端口号都是固定的.
1024 - 65535: 操作系统动态分配的端口号. 客户端程序的端口号, 就是由操作系统从这个范围分配的.
有些端口是非常常用的, 为了使用方便, 人们约定一些常用的服务器, 都是用以下这些固定的端口号:
执行下面的命令, 可以看到知名端口号
cat /etc/services
netstat是一个用来查看网络状态的重要工具.
语法:netstat [选项]
功能:查看网络状态
常用选项:
在查看服务器的进程id时非常方便.
语法:pidof [进程名]
功能:通过进程名删除线格式 , 查看进程id