一、HTTP(明文)
你浏览器和服务器之间传输的内容是明文:
- URL 路径、参数、页面内容、账号密码(如果你在表单里提交)都可能被旁路抓到
- 容易被 窃听 、篡改 、劫持(比如运营商插广告、公共 Wi-Fi 中间人)
现实类比:HTTP 像写在明信片上的内容,路上谁都能看、还能涂改。
二、HTTPS(HTTP + TLS)
HTTPS 的关键不是"更快",而是:
- 加密(Confidentiality):内容别人看不懂
- 完整性(Integrity):被改过能发现
- 身份认证(Authentication):你连的是"真正的目标网站",不是假站(依赖证书体系)
类比:HTTPS 像把信装进加密的防拆封信封,且信封上还有"官方印章"(证书链)。
三、注意一个常见误区:
- HTTPS 不能让你"绝对匿名"。例如:对方服务器仍然知道你的 IP;DNS 解析如果不用 DoH/DoT 也可能暴露你访问的域名;以及 SNI/流量特征在某些情况下也能泄露信息(虽然现在有 ECH 等技术在推进)。
四、例子:
- 在咖啡店 Wi-Fi 登录网站:
- HTTP:别人可能直接抓到你的账号密码
- HTTPS:抓到的只是密文 + TLS 握手信息,难以直接还原账号密码