https://ps5.mediatagtw.com/article/omoiomoware furifurare8大著數

超文本傳輸協定 是一種用來傳輸超媒體文件 (像是 HTML 文件) 的應用層協定，被設計來讓瀏覽器和伺服器進行溝通，但也可做其他用途。 https://ps5.mediatagtw.com/article/omoiomoware furifurare HTTP 遵循標準客戶端—伺服器模式，由客戶端連線以發送請求，然後等待接收回應。 HTTP 是一種無狀態協定，意思是伺服器不會保存任兩個請求間的任何資料 (狀態)。 儘管作為 TCP/IP 的應用層，HTTP 亦可應用於其他可靠的傳輸層 (例如 UDP)，只要不會無聲無息地遺失訊息即可。

• 客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥将会话密钥加密，并传送给网站。
• HTTPS是HTTP协议的安全版本，HTTP协议的数据传输是明文的，是不安全的，HTTPS使用了SSL/TLS协议进行了加密处理。
• HTTPS （全称：Hypertext Transfer Protocol Secure），是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。
• HTTP是一个基于TCP/IP通信协议来传递数据的协议，传输的数据类型为HTML 文件,、图片文件, 查询结果等。
• 例如使用者送出了一個請求，經過 TCP 的三次握手之後，資料便能透過 TCP 傳遞給伺服器，並等待伺服器回應；然而這個一來一往的傳輸過程，資料都是 明文；如果傳遞的過程中有惡意竊聽者，資料便有機會被窺探、盜用。
• 最初，HTTPS是与SSL一起使用的；在SSL逐渐演变到TLS时，HTTPS也由在2000年五月公布的RFC 2818正式确定下来。
• 503 Server Unavailable – 服务器当前不能处理客户端的请求，一段时间后可能恢复正常。

这个证书会被放置在浏览器中，并在每次连接到服务器时由服务器检查。 HTTP cookie（web cookie、browser cookie）為伺服器傳送予使用者瀏覽器的一個小片段資料。 瀏覽器可能儲存並於下一次請求回傳 cookie 至相同的伺服器。

https://ps5.mediatagtw.com/article/omoiomoware furifurare: 主要作用

可以看到，鉴于电子商务等安全上的需求，HTTPS对比HTTP，在安全方面已经取得了极大的增强。 总结来说，HTTPS的改进点在于创造性的使用了非对称加密算法，在不安全的网路上，安全的传输了用来进行对称加密的密钥，综合利用了非对称加密的安全性和对称加密的快速性。 SSL使用序列号来保护通讯方免受报文重放攻击。 在整个SSL握手中,都有一个唯一的随机数来标记SSL握手。 这样防止了攻击者嗅探整个登录过程，获取到加密的登录数据之后，不对数据进行解密, 而直接重传登录数据包的攻击手法。

证书可在其过期前被吊销，通常情况是该证书的私钥已经失密。 要使一网络服务器准备好接受HTTPS连接，管理员必须创建一数字证书，并交由证书颁发机构签名以使浏览器接受。 证书颁发机构会验证数字证书持有人和其声明的为同一人。 浏览器通常都预装了证书颁发机构的证书，所以他们可以验证该签名。

https://ps5.mediatagtw.com/article/omoiomoware furifurare: 请求报文构成

② 服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是 MIME 信息包括服务器信息、实体信息和可能的内容。 HTTPS 主要由两部分组成：HTTP + SSL / TLS，也就是在 HTTP 上又加了一层处理加密信息的模块。 https://ps5.mediatagtw.com/article/omoiomoware furifurare 服务端和客户端的信息传输都会通过 TLS 进行加密，所以传输的数据都是加密后的数据。 假想一下：Alice 和 Bob 準備進行通訊，而 Eve 是不懷好意的竊聽者；Alice 把要傳遞的明文經過 Bob 的公鑰進行加密後，再進行傳遞，由於 Bob 的私鑰只有 Bob 擁有，即使 Eve 竊取到了密文，也無法將其解密回明文。

Cookie 通常被用來保持使用者的登入狀態——如果兩次請求都來自相同的瀏覽器。 舉例來說，它記住了無狀態（stateless） (en-US)HTTP https://ps5.mediatagtw.com/article/omoiomoware furifurare 協議的有狀態資訊。 HTTPS是HTTP协议的安全版本，HTTP协议的数据传输是明文的，是不安全的，HTTPS使用了SSL/TLS协议进行了加密处理。 博客登录抓包可以看到访问的账号密码都是明文传输， 这样客户端发出的请求很容易被不法分子截取利用，因此，HTTP协议不适合传输一些敏感信息，比如：各种账号、密码等信息，使用http协议传输隐私信息非常不安全。

https://ps5.mediatagtw.com/article/omoiomoware furifurare: 协议层

它被广泛用于万维网上安全敏感的通讯，例如交易支付等方面。 不過是多了一個「Secure」，究竟會讓這2種傳輸協定產生怎麼樣的差異呢？ 這就得從早期網路的使用目的來看，網際網路在初期的使用目的僅為一個部門內的資料傳輸，因此HTTP作為較早期的傳輸協定，為了求資料傳輸的快速，自然就會省略「加密與解密」的步驟，讓資料以明文傳輸。

实际使用中，绝大说的网站现在都采用的是https协议，这也是未来互联网发展的趋势。 下面是通过wireshark抓取的一个博客网站的登录请求过程。 https://ps5.mediatagtw.com/article/omoiomoware furifurare 服务器处理完请求，并收到客户的应答后，即断开连接，但是却不利于客户端与服务器保持会话连接，为了弥补这种不足，产生了两项记录http状态的技术，一个叫做Cookie,一个叫做Session。

https://ps5.mediatagtw.com/article/omoiomoware furifurare: JavaScript 使用 Document.cookie 存取

當通訊開始時，Alice 會先傳遞數位憑證給 Bob，而 Bob 便可以透過數位簽章，來證明憑證的內容確實是屬於 Alice 的；如此一來，證明公鑰是屬於誰的問題就被解決了，即使竊聽者想要從中竊聽，也因為憑證頒發機構的數位簽章，竊聽者將無從介入通訊過程。 因此就出現了 憑證頒發機構，例如 Alice 和 Bob 要準備進行通訊；在開始之前，Alice 必須先提供公鑰 & Email，向憑證頒發機構申請憑證，憑證頒發機構核可後，便會透過 數位簽章 包裹 Alice 提供的資料，製作成 數位憑證。 當然，真實的環境不會用這種很容易被解出來的加密方式，而是會透過例如 AES 等方式進行加密；但兩者同樣的是，都會透過同一個金鑰來進行加密與解密，因此我們把這類的加密方式稱為「共用金鑰加密」，或是「對稱式加密」。 https://ps5.mediatagtw.com/article/omoiomoware furifurare 像是可能大家都有聽過的 凱薩加密法，就是一個非常基本的加密方式：將明文的字母全部位移固定的距離，解密時再位移回來；例如明文是 「EGG」，位移距離（金鑰）為 3，那麼加密後的密文就會是「HJJ」。

另外,HTTP在传输客户端请求和服务端响应时, 唯一的数据完整性检验就是在报文头部包含了本次传输数据的长度, 而对内容是否被篡改不作确认。 因此攻击者可以轻易的发动中间人攻击, 修改客户端和服务端传输的数据, 甚至在传输数据中插入恶意代码, 导致客户端被引导至恶意网站被植入木马。 HTTPS 全名 超文本傳輸安全協定，那個 S 就是 Secure 的意思；HTTPS 透過 HTTP 進行通訊，但通訊過程使用 SSL/TLS 進行加密，藉由類似於前述的加密方式，在 HTTP 之上定義了相對安全的資料傳輸方法。 因为TLS在HTTP之下工作，对上层协议一无所知，所以TLS服务器只能为一个IP地址/端口组合提供一个证书。 这就意味着在大部分情况下，使用HTTPS的同时支持基于名字的虚拟主机是不很现实的。

https://ps5.mediatagtw.com/article/omoiomoware furifurare: 加密

电子前哨基金会曾经建议“在理想的世界中，任何网络请求都能默认为HTTPS的。 ”该基金会也曾制作了Firefox扩展组件来推广这一建议。 SSL（Secure Socket Layer，安全套接字层）：1994年为 Netscape 所研发，SSL 协议位于 TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。

• 這就得從早期網路的使用目的來看，網際網路在初期的使用目的僅為一個部門內的資料傳輸，因此HTTP作為較早期的傳輸協定，為了求資料傳輸的快速，自然就會省略「加密與解密」的步驟，讓資料以明文傳輸。
• Path 指出一個必定存在於請求 URL 中的 URL 路徑，使 Cookie 標頭能被傳出。
• HTTPS 协议是由 HTTP 加上 TLS/SSL 协议构建的可进行加密传输、身份认证的网络协议，主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密，实现互联网传输安全保护。
• 有HTTP轉換HTTPS的需求，建議可以尋求專家的幫助。
• 客户端生成随机的字符串，通过协商好的非对称加密算法，使用服务端的公钥对该字符串进行加密，发送给服务端。
• 它是从WEB服务器传输超文本标记语言到本地浏览器的传送协议。

這樣的標示除了會影響使用者對於網站的信任度之外，更會影響網站在SEO的排名表現。 Google為了維持搜尋結果中HTTPS加密實行狀況，在「HTTPS as a ranking signal」表明了會將網站是否為HTTPS列為SEO排名的指標之一。 雖然官方聲稱這個指標的比重只占不到1％，但是在另一篇網誌「A secure web is here to stay」中，Google提出了一項有趣的統計數據：「在系統默認的情況下，搜尋結果頁（SERP）所顯示的前100名網站當中，有81個網站是使用HTTPS」。

https://ps5.mediatagtw.com/article/omoiomoware furifurare: 浏览器在使用HTTPS传输数据的流程是什么？

由香港SEO公司 featured.com.hk 提供SEO服務