HTTP——学习笔记（5）

我们通信的过程中会有哪些风险？：

1.HTTP不会对通信方的身份进行确认

　　因为HTTP协议中的请求和相应不会对通信方进行确认，就是不管发送或接收信息的人是不是之前的人，都不妨碍信息的发送或接收。

　　缺点：1.无法确定请求发送至目标的WEB服务器是否是按真实意图返回响应的那台服务区。有可能是已伪装的WEB服务器

　　　　　2.无法确定响应返回到的客户端是否是按真是意图接受响应的那个客户端。有可能是已伪装的客户端

　　　　　3.无法确定正在通信的对方是否具备访问权限。因为某些WEB服务器上保存着重要的信息，只想发给特定用户通信的权限

　　　　　4.无法判定请求是来自何方，出自谁手

　　　　　5.即使是无意义的请求也会照单全收。无法阻止海量请求下的DOS攻击（Denial of Service，拒绝服务攻击）

2.接受到的内容可能有误

　　HTTP中没有任何办法确认发出的请求响应和接受到的请求响应是前后相同的，其在发送的过程中有可能会发生被篡改，像这样，请求或响应在传输途中，遭攻击者拦截并篡改内容的攻击称为中间人攻击

http中信息的安全性怎样提高的？：

通信加密：

　　通过SSL或TLS组合使用，加密HTTP的通信内容，用SSL组合使用的HTTP被称为HTTPS（超文本传输安全协议）或HTTP over SSL。注意是将通信线路加密

内容加密：

　　HTTP协议中没有加密机制，所以也可以对HTTP协议传输的内容本身加密，即把HTTP报文里所含的内容进行加密处理，客户端需要对HTTP报文进行加密处理后再发送。采用这种加密机制必须要求客户端和服务器同时具备加密和解密机制。注意由于这种方式只是对内容进行加密，所以仍有被篡改的风险。

SSL是怎样保证通信安全的？：

SSL不仅提供加密处理，还使用了一种证书手段，可用于确定方

证书由值得信任的第三方机构颁发，用以证明服务器和客户端是实际存在的。另外，伪造证书从技术角度来说是异常困难的一件事。所以只要能够确认通信方（服务器或客户端）持有的证书，即可判断通信方的真实意图。

服务器端使用证书可以减少客户端的个人信息泄漏的危险性

客户端持有证书可以完成个人身份的确认，也可用于对WEB网站的认证环节

怎样防止通信内容在传输过程中被篡改？：

MD5和SHA-1等散列值校验的方法

　　原理：提供文件下载服务的WEB网站提供相应的以PGP（完美隐私）创建的数字签名及MD5算法生成的散列值。PGP是用来证明创建文件的数字签名，MD5是由单向函数生成的散列值。不论使用那一种方法，都需要操纵客户端的用户本人亲自检查验证下载的文件是否就是原来服务器上的文件，浏览器无法自动帮用户检查。

　　缺点：用这种方法也不能百分百保证结果正确，因为PGP和MD5本身也有可能被改写