《深入浅出HTTPS》读书笔记(3):HTTP本身的安全问题

互联网应用安全包括两部分:

◎HTTP本身的安全问题。

◎Web应用安全问题。

中间人攻击,主要是基于HTTP弱点进行的攻击。

所谓中间人就是在客户端和服务器通信之间有个无形的黑手,而对于客户端和服务器来说,根本没有意识到中间人的存在,也没有办法进行防御。

1)无线WiFi网络的攻击

提供WiFi网络的攻击者可以截获所有的HTTP流量,而可怕的是HTTP流量本身是明文的,攻击者用肉眼就可以知道用户的密码、银行卡信息、浏览习惯,根本不用进行任何的分析就可以获取用户的隐私。

2)垃圾广告攻击

ISP或者攻击者在页面中插入一些恶意JavaScript脚本,脚本一旦在客户端运行可能会产生更恶劣的后果,比如XSS攻击(跨站脚本攻击)。

HTTP在设计之初根本没有考虑安全问题,它的设计目的是数据传输和共享。

安全问题主要有三点原因,这三点也是安全领域的根本问题。

1)数据没有加密

HTTP本身传递的是明文,不会加密这些信息。

2)无法验证身份

在HTTP标准中,没有校验对端身份的标准。

由于通信双方无法确认对方,实现HTTP应用非常灵活,也产生了很多中间设备,比如代理服务器、网关服务器。

3)数据易篡改

对于客户端和服务器来说,没有任何技术来确保接收的数据就是发送者发送的原始数据。

HTTP安全问题主要是这三点导致的,而解决的办法就是使用HTTPS,在理解的时候,一定要明白HTTPS是如何解决这三个核心问题的。

相关推荐
xywww1681 小时前
大模型 API 选型实战:GPT、Gemini、Claude 接入时该看哪些指标?
运维·服务器·人工智能·python·gpt·langchain
私人珍藏库6 小时前
[Android] PeakFinder AR v4.8.89 (山峰全景识别+增强现实山峰查看器)
android·人工智能·智能手机·ar·工具·软件
sdghterhd6 小时前
WebSocket 快速入门教程(附示例源码)
网络·websocket·网络协议
CS创新实验室7 小时前
算法、齿轮与硅基大脑:数值计算发展简史
人工智能·算法·数值计算
能有时光7 小时前
PyTorch KernelAgent 源码解读 ---(4)--- ExtractorAgent
人工智能·pytorch·python
fthux7 小时前
GitZip Pro 源码解析:一个 GitHub 文件/文件夹下载扩展是如何工作的(一)整体架构与扩展入口
人工智能·ai·开源·github·open source
aqi008 小时前
15天学会AI应用开发(十七)使用LangGraph实现会话记忆功能
人工智能·python·大模型·ai编程·ai应用
西门吹-禅8 小时前
java springboot N+1问题
java·开发语言·spring boot
xixixi777778 小时前
三大 AI 安全里程碑:Akamai 高危风险预警、智能体水印强制落地、PQC 量子安全全产业链统一
大数据·人工智能·安全·ai·大模型·智能体·政策
skywalk81638 小时前
设计并实现段言的 C FFI 绑定机制 @Trae
c语言·开发语言·python·编程