[故事] 跟零計算機基礎的房東女兒講了一下午的中間人劫持京東事件後，她感激涕零，決定給我免除房租（上）

star333發表於2020-03-31

計算機事件

2020年蝙蝠紀元，二毛一如往常的呆在家中，不敢外出去浪。

為排解心中之悶，二毛抽了一口老煙，熟練的開啟了全球最大的同性交友網站，準備假裝瞭解下最近流行的專案…

只聽啪的一聲Enter鍵，哪知瀏覽器蹦出這麼一個畫面…

這是怎麼回事？二毛有點疑慮，突然門外傳來一陣急促的敲門聲，二毛起身前去開門…

二毛在電腦前敲入京東的域名（https://www.jd.com/），果不其然，也跳出跟Github一樣的安全提示。隨後二毛一頓搜尋，終於知道了原因。

HTTP

要搞清楚上面的問題前，我們先要知道 HTTP 協議。

HTTP是什麼呢？引用百科的解釋就是：

即超文字傳輸協議(Hypertext transfer protocol)，是一個簡單的請求-響應協議，它通常執行在TCP之上。它指定了客戶端可能傳送給伺服器什麼樣的訊息以及得到什麼樣的響應。請求和響應訊息的頭以ASCII碼形式給出；而訊息內容則具有一個類似MIME的格式。這個簡單模型是早期Web成功的有功之臣，因為它使得開發和部署是那麼的直截了當。

簡單來說，HTTP就是瀏覽器（客戶端）和網站（服務端）之間傳輸資訊使用的協議。

打個比方，就像讀書的時候，你跟前排同學傳紙條前，你總是要先戳一下前排同學的後背，然後前排同學就會往後伸出一隻手來，這時候你就可以把紙條放在她手心。她看完後會在紙條寫上文字，然後再次彎手，你再伸手拿紙條。這就完成了一次通訊的過程。

你戳她後背，她向後彎手的動作（像極了愛情？？），就像是一種準備通訊的規則，換句話說就是一個傳紙條的協議。而在網路世界中，瀏覽器和網站通訊，用的就是一種名為HTTP的協議。

HTTP特別簡單，它部署快捷，傳輸效率高，推動了網際網路的巨大發展。

HTTPS

為什麼會有 HTTPS?

HTTP是如此簡單，簡單到連傳輸的內容都沒有處理，直接使用明文傳輸的，但是這無疑會給資訊的安全帶來重大的隱患。稍微懂點抓包的且有相關許可權的，就可以把你跟網站通訊的內容看的一清二楚。

再舉個例子：

教室裡，第五排的小明想給第三排的小紅傳情書，必須得經過第四排的同學接力傳遞。這樣一來就會產生下面幾個問題：

竊聽：紙條內容被第四排同學知道了，並向老師舉報，導致小明因騷擾女同學而被輟學。
篡改：紙條被第四排同學改寫了，把”想跟你一起起床”改成”想跟你一起睡覺”，導致小紅看後怒火中燒，直呼渣男。
破壞：紙條被第四排同學破壞，導致小紅無法辨認內容，誤以為小明惡作劇扔了一團廢紙，而怒髮衝冠，拳腳相加。
偽裝：第四排同學直接偽裝成小紅回覆小明，表示願意交往。導致下課時小明牽小紅的手，被一劍封喉。

由於傳紙條通訊規則協議的不完善，使得第四排同學也就是中間人有機可乘幹壞事，造成了以上四種不良結果。

對映到網路世界，網路通訊的鏈條如此曲折冗長，中間極大可能也有諸多牛鬼蛇神、心懷不軌的人，會千方百計的對你傳輸的資訊攔截，然後對資訊進行竊聽、改造、破壞甚至偽裝。

使用 HTTP 協議傳輸資訊無異於在網路世界裸奔，但是現在世界上仍然有許多網站使用的是 HTTP（當然大部分是沒什麼重要資訊的網站）。基於此，Google瀏覽器已經把使用 HTTP 協議的網站，標為了不安全，以進一步提示使用者可能存在的風險。

隨著現代社會人們對隱私安全的要求越來越高，HTTPS 便順應時代潮流，應運而生。

什麼是 HTTPS?

HTTPS （全稱：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全為目標的 HTTP 通道，在HTTP的基礎上通過傳輸加密和身份認證保證了傳輸過程的安全性 [1] 。HTTPS 在HTTP 的基礎下加入SSL 層，HTTPS 的安全基礎是 SSL，因此加密的詳細內容就需要 SSL。HTTPS 存在不同於 HTTP 的預設埠及一個加密/身份驗證層（在 HTTP與 TCP 之間）。這個系統提供了身份驗證與加密通訊方法。它被廣泛用於全球資訊網上安全敏感的通訊，例如交易支付等方面。

總結起來就是：基於HTTP協議，通過 SSL 或 TLS 的封裝，使得 HTTPS 有了以下幾個功能：