HTTP作為一個大規模使用的網絡協議就真的安全了嗎？

我們知道互聯網為什麽叫互聯網，你可以在任何地方都可以與之相連，所以在這些可以連接的點上都可以獲取互聯網的部分信息。

那麽HTTP通信時有什麽缺點嗎？

首先我們在用wireshark抓寶時可以看到報文的全部內容，因此HTTTP是不加密的，它的通信使用明文。

而且它也不會驗證通信方的身份，所以可能遭遇偽裝。

我們既然可以在中途進行抓寶，所以我們也可以將其篡改，所以在這一點HTTP報文是可以被篡改的。

我們之所以能用抓包工具看清楚HTTP報文中的一切，那就是因為他使用明文傳輸（即不加密）。

你可以在任何地方監聽報文，相同局域網的客戶端（C端攻擊經常使用此手段），客戶端與互聯網之間，服務器與互聯網之間，或者互聯網之內，都可以進行監聽。

問題的提出就是為了解決問題，所以人們發明了SSL（安全套接層）和TLS（安全傳輸層協議），這兩個東西可以對HTTP的傳輸路線進行加密（只是傳輸路線而不是報文的內容）。

TLS是SSL的升級版，後者是前者的前身。

所以使用了SSL或TLS的HTTP就叫做HTTPS（超文本傳輸安全協議），HTTPS是在建立的加密通道內進行數據傳輸，但數據本身並未加密。

使用HTTPS的網站在它的URL上寫著https:// 這點足以我們分清是否使用HTTPS

如:

在另一方面,為了保證相對安全，內容也可以進行加密，事實上是對報文主體進行加密，而報文頭部沒有，這在WEB服務器上經常使用，前提是客戶端和服務端都要知道如何加密和解密。

但是這種方法並不是對通信線路進行加密（SSL和TSL對線路進行加密），所以當你知道如何解密和加密的時候，也可以篡改內容被加密的報文。

//本系列教程基於《圖解HTTP》,此書國內各大購物網站皆可購買

轉載請註明出處 by:M_ZPHr

最後修改日期：2019-04-05

#WEB安全基礎 : HTTP協議 | 0x13 不安全的HTTP