https://ps5.mediatagtw.com/article/orokin電池懶人包

这样防止了攻击者嗅探整个登录过程，获取到加密的登录数据之后，不对数据进行解密, 而直接重传登录数据包的攻击手法。 今天從加密的方式出發，考慮每種加密通訊過程中可能受到的攻擊，逐步演變成現今最普遍的加密方式，並藉此來說明 HTTP 與 HTTPS 之間的差異，希望能幫助讀者您理解網路通訊中最基礎的安全知識。 由於非對稱加密的運算量較高，傳遞回應較慢；實際的架構上，會透過公開金鑰加密傳遞出共用的金鑰，再透過共用金鑰加密進行後續的傳遞，兼顧了安全性及傳遞速度。 加密 指的是把明文資料轉換成無法讀取的內容 – 密文，並且密文能藉由特定的解密過程，將其回復成明文。 HTTP 全名是 超文本傳輸協定（HyperText Transfer Protocol），內容只規範了客戶端請求與伺服器回應的標準，實際上是藉由 TCP 作為資料的傳輸方式。

HTTP协议是超文本传输协议的缩写，英文是Hyper Text Transfer Protocol。 它是从WEB服务器传输超文本标记语言到本地浏览器的传送协议。 How Browsers Work 關於瀏覽器內部實作及 HTTP 通訊協定請求流程的一篇非常詳盡的文章。 HTTP 狀態回應碼 HTTP 狀態碼用來表示特定的 HTTP 請求是否已成功完成。 回應分為五類：資訊回應、成功回應、重定向、用戶端錯誤、以及伺服器錯誤。 HTTPS 协议的安全是有范围的，在黑客攻击、拒绝服务攻击和服务器劫持等方面几乎起不到什么作用。

https://ps5.mediatagtw.com/article/orokin電池: 加密

因此攻击者可以轻易的发动中间人攻击, 修改客户端和服务端传输的数据, 甚至在传输数据中插入恶意代码, 导致客户端被引导至恶意网站被植入木马。 HTTPS 全名 超文本傳輸安全協定，那個 S 就是 Secure 的意思；HTTPS 透過 HTTP 進行通訊，但通訊過程使用 SSL/TLS 進行加密，藉由類似於前述的加密方式，在 HTTP 之上定義了相對安全的資料傳輸方法。 因为TLS在HTTP之下工作，对上层协议一无所知，所以TLS服务器只能为一个IP地址/端口组合提供一个证书。 这就意味着在大部分情况下，使用HTTPS的同时支持基于名字的虚拟主机是不很现实的。

https://ps5.mediatagtw.com/article/orokin電池: 请求报文构成

（3）身份校验安全性：保证数据到达用户期望的目的地。 就像我们邮寄包裹时，虽然是一个封装好的未掉包的包裹，但必须确定这个包裹不会送错地方，通过身份校验来确保送对了地方。 （2）数据完整性：及时发现被第三方篡改的传输内容。 就像快递员虽然不知道包裹里装了什么东西，但他有可能中途掉包，数据完整性就是指如果被掉包，我们能轻松发现并拒收。 （1）数据保密性：保证数据内容在传输的过程中不会被第三方查看。

交互策略更为安全，但需要用户在他们的浏览器中安装個人的证书来进行认证。 自2018年起，Firefox及Chromium（以及Google Chrome、Microsoft Edge）调整了其显示网站域名及其安全程度的方式，包括不再突出显示HTTPS协议下的网页及将非HTTPS协议下的网页标注为不安全。 电子前哨基金会曾经建议“在理想的世界中，任何网络请求都能默认为HTTPS的。 ”该基金会也曾制作了Firefox扩展组件来推广这一建议。 SSL（Secure Socket Layer，安全套接字层）：1994年为 Netscape 所研发，SSL 协议位于 https://ps5.mediatagtw.com/article/orokin電池 TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。 实际使用中，绝大说的网站现在都采用的是https协议，这也是未来互联网发展的趋势。

https://ps5.mediatagtw.com/article/orokin電池: 协议层

HTTPS （全称：Hypertext Transfer Protocol Secure），是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。 HTTPS 在HTTP 的基础下加入SSL，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层（在 HTTP与 TCP 之间）。 它被广泛用于万维网上安全敏感的通讯，例如交易支付等方面。 不過是多了一個「Secure」，究竟會讓這2種傳輸協定產生怎麼樣的差異呢？ 這就得從早期網路的使用目的來看，網際網路在初期的使用目的僅為一個部門內的資料傳輸，因此HTTP作為較早期的傳輸協定，為了求資料傳輸的快速，自然就會省略「加密與解密」的步驟，讓資料以明文傳輸。

Mozilla Observatory 旨在幫助開發者、系統管理員和安全專業人員安全地配置網站的專案。 不知从什么时候开始，当我们在输入我们需要打开的网页的网址，前面的http变成了https，那么，https是什么呢？ Https实质上是http的升级版，弥补了http的不安全性等因素。 最关键的是，SSL 证书的信用链体系并不安全。 特别是在某些国家可以控制 CA 根证书的情况下，中间人攻击一样可行。 很遺憾的，還是沒辦法；因為通訊的雙方，雖然看得到對方的公鑰，但沒辦法證明這個公鑰是通訊的對方所擁有。

https://ps5.mediatagtw.com/article/orokin電池: JavaScript 使用 Document.cookie 存取

下面是通过wireshark抓取的一个博客网站的登录请求过程。 服务器处理完请求，并收到客户的应答后，即断开连接，但是却不利于客户端与服务器保持会话连接，为了弥补这种不足，产生了两项记录http状态的技术，一个叫做Cookie,一个叫做Session。 當通訊開始時，Alice 會先傳遞數位憑證給 Bob，而 Bob 便可以透過數位簽章，來證明憑證的內容確實是屬於 Alice 的；如此一來，證明公鑰是屬於誰的問題就被解決了，即使竊聽者想要從中竊聽，也因為憑證頒發機構的數位簽章，竊聽者將無從介入通訊過程。 因此就出現了 憑證頒發機構，例如 Alice 和 Bob 要準備進行通訊；在開始之前，Alice 必須先提供公鑰 & Email，向憑證頒發機構申請憑證，憑證頒發機構核可後，便會透過 數位簽章 包裹 Alice 提供的資料，製作成 數位憑證。 當然，真實的環境不會用這種很容易被解出來的加密方式，而是會透過例如 https://ps5.mediatagtw.com/article/orokin電池 AES 等方式進行加密；但兩者同樣的是，都會透過同一個金鑰來進行加密與解密，因此我們把這類的加密方式稱為「共用金鑰加密」，或是「對稱式加密」。 像是可能大家都有聽過的 凱薩加密法，就是一個非常基本的加密方式：將明文的字母全部位移固定的距離，解密時再位移回來；例如明文是 「EGG」，位移距離（金鑰）為 3，那麼加密後的密文就會是「HJJ」。

但是隨著網路的功能越來越多元，我們有時候會需要在網路上傳輸密碼等極為重要的資訊，若持續使用HTTP就有可能在傳輸的過程中被駭客竊取或是竄改。 例如使用者送出了一個請求，經過 TCP 的三次握手之後，資料便能透過 TCP 傳遞給伺服器，並等待伺服器回應；然而這個一來一往的傳輸過程，資料都是 明文；如果傳遞的過程中有惡意竊聽者，資料便有機會被窺探、盜用。 HTTPS的主要作用是在不安全的网络上创建一个安全信道，并可在使用适当的加密套件和服务器证书可被验证且可被信任时，对窃听和中间人攻击提供合理的防护。 HTTP协议是为了传输网页超文本（文本、图像、多媒体资源），以及规范客户端和服务器端之间互相请求资源的方法的应用层协议。

https://ps5.mediatagtw.com/article/orokin電池: 主要作用

到此，服务器客户端双方的身份认证结束，双方确保身份都是真实可靠的。 HTTP虽然使用极为广泛, 但是却存在不小的安全缺陷, 主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付, 网络交易等新兴应用中安全方面最需要关注的。 HTTPS也可被用作客户端认证手段来将一些信息限制给合法的用户。

就像快递员传递包裹一样，都进行了封装，别人无法获知里面装了什么。 HTTPS报文中的任何东西都被加密，包括所有报头和荷载。 除了可能的选择密文攻击（参见局限小节）之外，一个攻击者所能知道的只有在两者之间有一连接这一事实。 另外，还有一种安全超文本传输协议（S-HTTP）的HTTP安全传输实现，但是HTTPS的广泛应用而成为事实上的HTTP安全传输实现，S-HTTP并没有得到广泛支持。 對於 cookie 的使用並沒有法律上或技術上的規定，但可利用 DNT 標頭，指示網頁應用程式關閉頁面的追蹤、或跨站的使用者追蹤。 收到一個 HTTP 請求時，伺服器可以傳送一個 Set-Cookie (en-US) 的標頭和回應。

https://ps5.mediatagtw.com/article/orokin電池: 浏览器在使用HTTPS传输数据的流程是什么？

服务端接收到之后，使用自己的私钥解密得到该字符串。 在随后的数据传输当中，使用这个字符串作为密钥进行对称加密。 关于 HTTP的明文数据传输, 攻击者最常用的攻击手法就是网络嗅探, 试图从传输过程当中分析出敏感的数据, 例如管理员对 Web 程序后台的登录过程等等, 从而获取网站管理权限, 进而渗透到整个服务器的权限。 即使无法获取到后台登录信息, 攻击者也可以从网络中获取普通用户的隐秘信息, 包括手机号码, 身份证号码, 信用卡号等重要资料, 导致严重的安全事故。 进行网络嗅探攻击非常简单, 对攻击者的要求很低。

• 失败则关闭连接，认证成功则从客户端证书中获得客户端的公钥，一般为1024位或者 2048位。
• 截至2018年6月，Alexa排名前100萬的網站中有[34.6%使用HTTPS作為預設值，互联网141387个最受欢迎网站的43.1%具有安全实施的HTTPS，以及45%的頁面載入（透過Firefox紀錄）使用HTTPS。
• 客户端和服务端在开始传输数据之前，会协商传输过程需要使用的加密算法。
• 这个证书会被放置在浏览器中，并在每次连接到服务器时由服务器检查。
• 其 中门户网站为用户提供金融咨询和优惠信息等服务，还提供银行App客户端、U盾驱动等程序下载服务。
• 下面是通过wireshark抓取的一个博客网站的登录请求过程。

一个组织也可能有自己的证书颁发机构，尤其是当设置浏览器来访问他们自己的网站时（如，运行在公司或学校局域网内的网站）。 截至2018年6月，Alexa排名前100萬的網站中有[34.6%使用HTTPS作為預設值，互联网141387个最受欢迎网站的43.1%具有安全实施的HTTPS，以及45%的頁面載入（透過Firefox紀錄）使用HTTPS。 2017年3月，中国注册域名总数的0.11％使用HTTPS。 歷史上，HTTPS连接经常用于万维网上的交易支付和企业信息系统中敏感信息的传输。 在2000年代末至2010年代初，HTTPS開始廣泛使用，以確保各類型的網頁真實，保護帳戶和保持用戶通信，身份和網絡瀏覽的私密性。 先说大白话的结论：“HTTPS和HTTP都是数据传输的应用层协议，区别在于HTTPS比HTTP安全”。

https://ps5.mediatagtw.com/article/orokin電池: 浏览器实现

使用网络发布的任意一款抓包工具, 一个新手就有可能获取到大型网站的用户信息。 ）是一種透過計算機網路進行安全通訊的傳輸協議。 HTTPS經由HTTP進行通訊，但利用SSL/TLS來加密封包。 HTTPS開發的主要目的，是提供對網站伺服器的身份認證，保護交換資料的隱私與完整性。 這個協議由網景公司（Netscape）在1994年首次提出，隨後擴展到網際網路上。

现有银行对外提供的互联网金融服务中，互联网门户类网站和图片网站主要通过 HTTP对外服务。 其 中门户网站为用户提供金融咨询和优惠信息等服务，还提供银行App客户端、U盾驱动等程序下载服务。 为提升用户服务体验，此类 HTTP 网站还部署了内容分发网络（Content https://ps5.mediatagtw.com/article/orokin電池 Delivery Network，CDN），通过 CDN 将用户需要访问的信息放到离用户所在物理地区最近内容服务站点，可以大幅提升互联网对外服务的获取速度，提供最佳访问体验。 上述 CDN 通常为基于 HTTP的互联网应用提供服务，而随着互联网环境中的劫持、篡改等访问安全问题的日趋严峻，CDN 提供的网络分发方案也需要支持 HTTP改造为 HTTPS 协议。 下面是对 HTTP 到 HTTPS 改造应用和网络的方案介绍。

https://ps5.mediatagtw.com/article/orokin電池: 请求报文构成

這樣的標示除了會影響使用者對於網站的信任度之外，更會影響網站在SEO的排名表現。 Google為了維持搜尋結果中HTTPS加密實行狀況，在「HTTPS as a ranking signal」表明了會將網站是否為HTTPS列為SEO排名的指標之一。 雖然官方聲稱這個指標的比重只占不到1％，但是在另一篇網誌「A secure web is here to stay」中，Google提出了一項有趣的統計數據：「在系統默認的情況下，搜尋結果頁（SERP）所顯示的前100名網站當中，有81個網站是使用HTTPS」。 由此可見，HTTP是否轉換為HTTPS，對網站的SEO影響甚大。

https://ps5.mediatagtw.com/article/orokin電池: 主要作用

一种叫服务器名称指示（SNI）的方案通过在加密连接创建前向服务器发送主机名解决了这一问题。 Firefox 2、Opera 8和运行在Windows https://ps5.mediatagtw.com/article/orokin電池 Vista的Internet Explorer 7都加入了对SNI的支持。 給予使用者一個安全的網站，顧客對於你的品牌與企業才會產生信任感。 對於初次接觸的網站經營者與商家，自己操作轉址既耗時又擔心會失敗嗎？

https://ps5.mediatagtw.com/article/orokin電池: 加密

TLS版本1.3中服务端证书被加密，然而服务器名称指示仍未被加密，并成为防火长城检测的新手段。 我們來打個比方，我們用HTTP傳輸資料時就像是上課在傳紙條，每一次經手都有可能被有心的同學打開偷看，更甚至是竄改內容。 现有互联网环境中仍大约有 65% 的网站使用 HTTP，此部分的互联网站的用户访问会存在很高的安全 隐患，导致信息泄露、木马植入等情况出现。 针对这一情况，为互联网提供安全服务而采用 HTTPS 已是大势所趋。 HTTP 到 HTTPS 的转向可以帮助企业网提升用 户访问安全水平，特别是对于有敏感信息保存和提供金融交易等服务的企业更有帮助。 Google、Facebook 和国内诸多大型互联网公司应用已经全面支持 HTTPS，并且苹果和谷歌两大公司也在积极推动 HTTPS 扩大应用 范围，对 HTTPS 协议在全球网站的部署进度起到加速作用。

https://ps5.mediatagtw.com/article/orokin電池: 浏览器在使用HTTPS传输数据的流程是什么？

部署 HTTPS 后，因为 HTTPS 协议的工作要增加额外的计算资源消耗，例如 SSL 协议加密算法和 SSL 交互次数将占用一定的计算资源和服务器成本。 在大规模用户访问应用的场景下，服务器需要频繁地做加密和解密操作，几乎每一个字节都需要做加解密，这就产生了服务器成本。 随着云计算技术的发展，数据中心部署的服务器使用成本在规模增加后逐步下降，相对于用户访问的安全提升，其投入成本已经下降到可接受程度。

https://ps5.mediatagtw.com/article/orokin電池: JavaScript 使用 Document.cookie 存取

① 客户端的浏览器首先要通过网络与服务器建立连接，该连接是通过TCP 来完成的，一般 TCP 连接的端口号是80。 建立连接后，客户机发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是 MIME 信息包括请求修饰符、客户机信息和许可内容。 HTTPS 协议是由 HTTP 加上 TLS/SSL 协议构建的可进行加密传输、身份认证的网络协议，主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密，实现互联网传输安全保护。 在TLS版本1.2中，服务端发送的证书以明文传输，因此中国大陆的防火长城可以对特定网站按照匹配的黑名单证书，检测到特定证书即执行TCP重置攻击，从而导致TLS连接无法建立。

由香港SEO公司 featured.com.hk 提供SEO服務