https://ps5.mediatagtw.com/article/overcookedallyoucaneat不可不看詳解

假想一下：Alice 和 Bob 準備進行通訊，而 Eve 是不懷好意的竊聽者；Alice 把要傳遞的明文經過 Bob 的公鑰進行加密後，再進行傳遞，由於 Bob 的私鑰只有 Bob 擁有，即使 Eve 竊取到了密文，也無法將其解密回明文。 证书可在其过期前被吊销，通常情况是该证书的私钥已经失密。 要使一网络服务器准备好接受HTTPS连接，管理员必须创建一数字证书，并交由证书颁发机构签名以使浏览器接受。 证书颁发机构会验证数字证书持有人和其声明的为同一人。 浏览器通常都预装了证书颁发机构的证书，所以他们可以验证该签名。

• 因此攻击者可以轻易的发动中间人攻击, 修改客户端和服务端传输的数据, 甚至在传输数据中插入恶意代码, 导致客户端被引导至恶意网站被植入木马。
• 博客登录抓包可以看到访问的账号密码都是明文传输， 这样客户端发出的请求很容易被不法分子截取利用，因此，HTTP协议不适合传输一些敏感信息，比如：各种账号、密码等信息，使用http协议传输隐私信息非常不安全。
• （1） 从 HTTP 转向 HTTPS 的应用改造要点：HTTP 页面分析评估信息数据安全等级；WEB 页面访问改造；站点证书申请和部署；启用 HTTPS 协议支持，增加 TCP-443 端口，对外服务。
• 为提升用户服务体验，此类 HTTP 网站还部署了内容分发网络（Content Delivery Network，CDN），通过 CDN 将用户需要访问的信息放到离用户所在物理地区最近内容服务站点，可以大幅提升互联网对外服务的获取速度，提供最佳访问体验。
• How Browsers Work 關於瀏覽器內部實作及 HTTP 通訊協定請求流程的一篇非常詳盡的文章。
• 最初，HTTPS是与SSL一起使用的；在SSL逐渐演变到TLS时，HTTPS也由在2000年五月公布的RFC 2818正式确定下来。

要做到这样，管理员通常会给每个用户创建证书（通常包含了用户的名字和电子邮件地址）。 这个证书会被放置在浏览器中，并在每次连接到服务器时由服务器检查。 HTTP https://ps5.mediatagtw.com/article/overcookedallyoucaneat cookie（web cookie、browser cookie）為伺服器傳送予使用者瀏覽器的一個小片段資料。

https://ps5.mediatagtw.com/article/overcookedallyoucaneat: 加密

网景在1994年创建了HTTPS，并应用在网景导航者浏览器中。 最初，HTTPS是与SSL一起使用的；在SSL逐渐演变到TLS时，HTTPS也由在2000年五月公布的RFC 2818正式确定下来。 GET是直接添加到URL后面的，直接就可以在URL中看到内容，而POST是放在报文内部的，用户无法直接看到。 URL 则是用来定位具体的资源的，标示了一个具体的资源位置。 网络协议是计算机之间为了实现网络通信而达成的一种“约定”或者”规则“，有了这种”约定“，不同厂商的生产设备，以及不同操作系统组成的计算机之间，就可以实现通信。

• 服务端接收到消息之后，选中安全性最高的算法，并将选中的算法发送给客户端，完成协商。
• Firefox 2、Opera 8和运行在Windows Vista的Internet Explorer 7都加入了对SNI的支持。
• 不過是多了一個「Secure」，究竟會讓這2種傳輸協定產生怎麼樣的差異呢？
• HTTPS經由HTTP進行通訊，但利用SSL/TLS來加密封包。
• URL 则是用来定位具体的资源的，标示了一个具体的资源位置。

歷史上，HTTPS连接经常用于万维网上的交易支付和企业信息系统中敏感信息的传输。 在2000年代末至2010年代初，HTTPS開始廣泛使用，以確保各類型的網頁真實，保護帳戶和保持用戶通信，身份和網絡瀏覽的私密性。 先说大白话的结论：“HTTPS和HTTP都是数据传输的应用层协议，区别在于HTTPS比HTTP安全”。

https://ps5.mediatagtw.com/article/overcookedallyoucaneat: 协议层

因此就出現了 憑證頒發機構，例如 Alice 和 Bob 要準備進行通訊；在開始之前，Alice 必須先提供公鑰 & Email，向憑證頒發機構申請憑證，憑證頒發機構核可後，便會透過 數位簽章 包裹 Alice 提供的資料，製作成 數位憑證。 當然，真實的環境不會用這種很容易被解出來的加密方式，而是會透過例如 AES 等方式進行加密；但兩者同樣的是，都會透過同一個金鑰來進行加密與解密，因此我們把這類的加密方式稱為「共用金鑰加密」，或是「對稱式加密」。 像是可能大家都有聽過的 凱薩加密法，就是一個非常基本的加密方式：將明文的字母全部位移固定的距離，解密時再位移回來；例如明文是 「EGG」，位移距離（金鑰）為 3，那麼加密後的密文就會是「HJJ」。 一个组织也可能有自己的证书颁发机构，尤其是当设置浏览器来访问他们自己的网站时（如，运行在公司或学校局域网内的网站）。 截至2018年6月，Alexa排名前100萬的網站中有[34.6%使用HTTPS作為預設值，互联网141387个最受欢迎网站的43.1%具有安全实施的HTTPS，以及45%的頁面載入（透過Firefox紀錄）使用HTTPS。 2017年3月，中国注册域名总数的0.11％使用HTTPS。

https://ps5.mediatagtw.com/article/overcookedallyoucaneat: 主要作用

服务端接收到之后，使用自己的私钥解密得到该字符串。 在随后的数据传输当中，使用这个字符串作为密钥进行对称加密。 关于 HTTP的明文数据传输, 攻击者最常用的攻击手法就是网络嗅探, 试图从传输过程当中分析出敏感的数据, 例如管理员对 Web 程序后台的登录过程等等, 从而获取网站管理权限, 进而渗透到整个服务器的权限。 即使无法获取到后台登录信息, 攻击者也可以从网络中获取普通用户的隐秘信息, 包括手机号码, 身份证号码, 信用卡号等重要资料, 导致严重的安全事故。 进行网络嗅探攻击非常简单, 对攻击者的要求很低。 使用网络发布的任意一款抓包工具, 一个新手就有可能获取到大型网站的用户信息。

加密 指的是把明文資料轉換成無法讀取的內容 – 密文，並且密文能藉由特定的解密過程，將其回復成明文。 HTTP 全名是 超文本傳輸協定（HyperText Transfer Protocol），內容只規範了客戶端請求與伺服器回應的標準，實際上是藉由 TCP 作為資料的傳輸方式。 交互策略更为安全，但需要用户在他们的浏览器中安装個人的证书来进行认证。 自2018年起，Firefox及Chromium（以及Google Chrome、Microsoft Edge）调整了其显示网站域名及其安全程度的方式，包括不再突出显示HTTPS协议下的网页及将非HTTPS协议下的网页标注为不安全。 电子前哨基金会曾经建议“在理想的世界中，任何网络请求都能默认为HTTPS的。 ”该基金会也曾制作了Firefox扩展组件来推广这一建议。

https://ps5.mediatagtw.com/article/overcookedallyoucaneat: 请求报文构成

除了少數特例外，此政策主要關於指定來源伺服器和腳本程式的端點（endpoints）。 相同网络环境下，HTTPS 协议会使页面的加载时间延长近 50%，增加 10%到 20%的耗电。 此外，HTTPS 协议还会影响缓存，增加数据开销和功耗。 HTTP不是安全的，而且攻击者可以通过监听和中间人攻击等手段，获取网站帐户和敏感信息等。 HTTPS的设计可以防止前述攻击，在正确配置时是安全的。

HTTP协议是超文本传输协议的缩写，英文是Hyper Text Transfer Protocol。 它是从WEB服务器传输超文本标记语言到本地浏览器的传送协议。 How https://ps5.mediatagtw.com/article/overcookedallyoucaneat Browsers https://ps5.mediatagtw.com/article/overcookedallyoucaneat Work 關於瀏覽器內部實作及 HTTP 通訊協定請求流程的一篇非常詳盡的文章。

https://ps5.mediatagtw.com/article/overcookedallyoucaneat: JavaScript 使用 Document.cookie 存取

有HTTP轉換HTTPS的需求，建議可以尋求專家的幫助。 戰國策提供你SSL安全憑證安裝的服務，我們擁有4種類型的SSL憑證，能夠讓客戶選擇最適合網站所需的類型，讓您的網站加上HTTPS的SSL安全憑證，減少潛在的網安威脅、提高顧客購買的信心，立即詢問相關方案，讓你的網站更上層樓。 （1） 从 HTTP 转向 HTTPS 的应用改造要点：HTTP 页面分析评估信息数据安全等级；WEB 页面访问改造；站点证书申请和部署；启用 HTTPS 协议支持，增加 TCP-443 端口，对外服务。 服务端要求客户端发送证书，并检查是否通过验证。 失败则关闭连接，认证成功则从客户端证书中获得客户端的公钥，一般为1024位或者 2048位。

HTTP 遵循標準客戶端—伺服器模式，由客戶端連線以發送請求，然後等待接收回應。 HTTP 是一種無狀態協定，意思是伺服器不會保存任兩個請求間的任何資料 (狀態)。 儘管作為 TCP/IP 的應用層，HTTP 亦可應用於其他可靠的傳輸層 (例如 UDP)，只要不會無聲無息地遺失訊息即可。 這樣的標示除了會影響使用者對於網站的信任度之外，更會影響網站在SEO的排名表現。 Google為了維持搜尋結果中HTTPS加密實行狀況，在「HTTPS as a ranking signal」表明了會將網站是否為HTTPS列為SEO排名的指標之一。 雖然官方聲稱這個指標的比重只占不到1％，但是在另一篇網誌「A secure web is here to stay」中，Google提出了一項有趣的統計數據：「在系統默認的情況下，搜尋結果頁（SERP）所顯示的前100名網站當中，有81個網站是使用HTTPS」。

https://ps5.mediatagtw.com/article/overcookedallyoucaneat: 浏览器实现

HTTPS 协议是由 SSL+HTTP构建的可进行加密传输、身份认证的网络协议，要比 HTTP安全，可防止数据在传输过程中被窃取、改变，确保数据的完整性。 另外,HTTP在传输客户端请求和服务端响应时, 唯一的数据完整性检验就是在报文头部包含了本次传输数据的长度, 而对内容是否被篡改不作确认。 因此攻击者可以轻易的发动中间人攻击, 修改客户端和服务端传输的数据, 甚至在传输数据中插入恶意代码, 导致客户端被引导至恶意网站被植入木马。 HTTPS 全名 超文本傳輸安全協定，那個 S 就是 Secure 的意思；HTTPS 透過 HTTP 進行通訊，但通訊過程使用 SSL/TLS 進行加密，藉由類似於前述的加密方式，在 HTTP 之上定義了相對安全的資料傳輸方法。

下面是对 HTTP 到 HTTPS 改造应用和网络的方案介绍。 客户端和服务端在开始传输数据之前，会协商传输过程需要使用的加密算法。 客户端发送协商请求给服务端, 其中包含自己支持的非对称加密的密钥交换算法 ( 一般是RSA), 数据签名摘要算法 ( 一般是SHA或者MD5) , 加密传输数据的对称加密算法 ( 一般是DES),以及加密密钥的长度。 服务端接收到消息之后，选中安全性最高的算法，并将选中的算法发送给客户端，完成协商。 客户端生成随机的字符串，通过协商好的非对称加密算法，使用服务端的公钥对该字符串进行加密，发送给服务端。

https://ps5.mediatagtw.com/article/overcookedallyoucaneat: 浏览器在使用HTTPS传输数据的流程是什么？

严格地讲，HTTPS并不是一个单独的协议，而是对工作在一加密连接（TLS或SSL）上的常规HTTP协议的称呼。 当连接到一个提供无效证书的网站时，较旧的浏览器会使用一个对话框询问用户是否继续，而较新的浏览器会在整个窗口中显示警告。 访问一个网页时，浏览器会向web服务器发出请求。 此网页所在的服务器会返回一个包含HTTP状态码的信息头用以响应浏览器的请求。 浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。 超文本傳輸協定 是一種用來傳輸超媒體文件 (像是 HTML 文件) 的應用層協定，被設計來讓瀏覽器和伺服器進行溝通，但也可做其他用途。

（3）身份校验安全性：保证数据到达用户期望的目的地。 就像我们邮寄包裹时，虽然是一个封装好的未掉包的包裹，但必须确定这个包裹不会送错地方，通过身份校验来确保送对了地方。 （2）数据完整性：及时发现被第三方篡改的传输内容。 就像快递员虽然不知道包裹里装了什么东西，但他有可能中途掉包，数据完整性就是指如果被掉包，我们能轻松发现并拒收。 （1）数据保密性：保证数据内容在传输的过程中不会被第三方查看。 就像快递员传递包裹一样，都进行了封装，别人无法获知里面装了什么。

https://ps5.mediatagtw.com/article/overcookedallyoucaneat: 浏览器实现

到此，服务器客户端双方的身份认证结束，双方确保身份都是真实可靠的。 HTTP虽然使用极为广泛, 但是却存在不小的安全缺陷, 主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付, https://ps5.mediatagtw.com/article/overcookedallyoucaneat 网络交易等新兴应用中安全方面最需要关注的。 HTTPS也可被用作客户端认证手段来将一些信息限制给合法的用户。

Google、Facebook 和国内诸多大型互联网公司应用已经全面支持 HTTPS，并且苹果和谷歌两大公司也在积极推动 HTTPS 扩大应用 范围，对 HTTPS 协议在全球网站的部署进度起到加速作用。 HTTPS （全称：Hypertext Transfer Protocol Secure），是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。 HTTPS 在HTTP 的基础下加入SSL，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。

https://ps5.mediatagtw.com/article/overcookedallyoucaneat: 加密

不知从什么时候开始，当我们在输入我们需要打开的网页的网址，前面的http变成了https，那么，https是什么呢？ Https实质上是http的升级版，弥补了http的不安全性等因素。 最关键的是，SSL 证书的信用链体系并不安全。 特别是在某些国家可以控制 CA 根证书的情况下，中间人攻击一样可行。 很遺憾的，還是沒辦法；因為通訊的雙方，雖然看得到對方的公鑰，但沒辦法證明這個公鑰是通訊的對方所擁有。

https://ps5.mediatagtw.com/article/overcookedallyoucaneat: 主要作用

在某些情形中，被加密资源的URL可仅通过截获请求和响应的大小推得，这就可使攻击者同时知道明文（公开的静态内容）和密文（被加密过的明文），从而使选择密文攻击成为可能。 但是这个HTTP 1.1版本存在一个很大的问题-明文传输（Plaintext/Clear Text），这个问题在互联网时代的今天是致命的，一旦数据在公共网络中被第三方截获，其通信内容轻而易举地就被窃取了。 https://ps5.mediatagtw.com/article/overcookedallyoucaneat HTTP是超文本傳輸協定（HyperText Transfer Protocol）的縮寫，代表一種網際網路在傳遞資訊時的協定，其規範在使用者與伺服器之間的資料傳輸必須以TCP協定（傳輸控制協定）的三次握手（three-way handshake）建立連結。 ② 服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是 MIME 信息包括服务器信息、实体信息和可能的内容。 HTTPS 主要由两部分组成：HTTP + SSL / TLS，也就是在 HTTP 上又加了一层处理加密信息的模块。 服务端和客户端的信息传输都会通过 TLS 进行加密，所以传输的数据都是加密后的数据。

随着云计算技术的发展，数据中心部署的服务器使用成本在规模增加后逐步下降，相对于用户访问的安全提升，其投入成本已经下降到可接受程度。 ① 客户端的浏览器首先要通过网络与服务器建立连接，该连接是通过TCP 来完成的，一般 TCP 连接的端口号是80。 建立连接后，客户机发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是 MIME 信息包括请求修饰符、客户机信息和许可内容。

https://ps5.mediatagtw.com/article/overcookedallyoucaneat: 协议层