HTTP vs HTTPS: 網路通訊的加密之爭!你真的知道它們的區別嗎?

不一樣的科技宅發表於2023-04-16
HTTP加密

前言

  歡迎來到今天的每日一題,每日一提。之前有聊到,TCP/IP協議四層模型。所以我們知道,那四層分別是:應用層、傳輸層、網路層和資料鏈路層。那麼今天聊一聊應用層裡面的一個小知識點,HTTP和HTTPS之間有什麼區別?

區別點

  HTTP(超文字傳輸協議)和 HTTPS(安全的超文字傳輸協議)都是用於在Web伺服器和Web瀏覽器之間傳輸資料的協議。它們之間的主要區別在於安全性和資料傳輸方式。

  HTTP是一種明文協議,它的資料傳輸是明文的,沒有加密,因此可能存在被攻擊者竊聽、篡改或偽造資料的風險。而HTTPS則是一種加密協議,它使用SSL或TLS協議對資料進行加密傳輸,使得資料更難以被竊聽、篡改或偽造。

  另外,為了確保網站的安全性,HTTPS在資料傳輸過程中會進行身份驗證,驗證網站是否為合法的網站,確保資料傳輸的安全性和完整性。

安全性

  HTTP不對資料進行加密傳輸,容易被竊聽和篡改;HTTPS通常需要購買SSL/TLS證書,由數字證書頒發機構(CA)進行頒發。這些證書可用於驗證網站的身份,並且可以確保傳輸資料的機密性和完整性。

效能

  HTTPS使用加密解密演算法進行資料傳輸,這會增加伺服器的負載和資源消耗。因此,使用HTTPS協議的網站需要更強的伺服器效能和更高的頻寬,導致效能略低於HTTP。

  HTTP使用預設的80埠進行資料傳輸;HTTPS使用預設的443埠進行資料傳輸。

連線方式

  HTTP是無狀態協議,每次請求和響應之間沒有任何關聯,伺服器無法識別不同請求的來源;HTTPS使用基於SSL/TLS握手協議的安全連線方式,可以保證資料傳輸的安全性和完整性,並且每個請求和響應之間都有一個唯一的識別符號,伺服器可以識別不同請求的來源。

應用範圍

  HTTPS通常用於保護涉及敏感資訊的網站,如電子商務、網銀等。而HTTP則用於一般的網站訪問。

跨域限制

  瀏覽器會限制HTTP和HTTPS之間的跨域請求。如果網站使用HTTP協議,那麼它無法從使用HTTPS協議的網站請求資料。而使用HTTPS協議的網站則可以從HTTP和HTTPS協議的網站請求資料。

HTTPS一定安全嘛?

  雖然HTTPS是一種加密協議,但並不意味著它完全安全。下面列出一些可能導致HTTPS不安全的情況:

  1. 證書被篡改或偽造:HTTPS依賴於數字證書來驗證伺服器的身份。如果證書被篡改或偽造,攻擊者就可以模擬合法網站並竊取使用者的敏感資訊。
  2. 中間人攻擊:中間人攻擊是指攻擊者插入自己的裝置或軟體,以竊取或篡改雙方之間的通訊內容。如果攻擊者成功插入自己的裝置或軟體並欺騙雙方,他們就可以竊取或篡改HTTPS通訊。
  3. 網站本身存在漏洞:即使HTTPS可以保護通訊的安全性,但如果網站本身存在漏洞,攻擊者仍然可以利用這些漏洞竊取敏感資訊。
  4. 人為因素:人為因素也可能導致HTTPS不安全。例如,如果使用者不小心將密碼洩露給他人,那麼攻擊者就可以輕鬆地獲取敏感資訊。

如何避免呢?

  1. 購買真實的數字證書:在購買數字證書時,需要選擇一個可信的證書頒發機構(CA),並確保證書的真實性和合法性。同時,定期更新證書,以確保網站的安全性。
  2. 實施證書校驗(雙向校驗):網站應該實施嚴格的證書校驗,確保只信任由合法證書頒發機構簽發的證書。當客戶端訪問網站時,伺服器應該向客戶端傳送證書,客戶端應該驗證證書的真實性,以確保與伺服器建立的是安全的加密連線。
  3. 防範中間人攻擊:可以採用公鑰基礎設施(PKI)技術來防範中間人攻擊。PKI是一個公開的密碼學體系,它提供了一種可信的方法,確保數字證書的真實性和合法性。透過使用PKI,可以防止攻擊者竊取和篡改通訊內容。
  4. 實現安全的網站設計:網站應該採用安全的編碼技術和最佳實踐,以防止駭客利用網站的漏洞進行攻擊。例如,應該對使用者輸入的資料進行嚴格的驗證和過濾,防止SQL隱碼攻擊、跨站點指令碼(XSS)和其他常見攻擊。
  5. 安全地儲存使用者資料:對於敏感資料,如密碼和信用卡資訊,應該採用加密技術進行儲存,並嚴格限制訪問許可權,以防止駭客竊取敏感資訊。

  簡言之,為了設計一個安全的網站,需要考慮多個方面,包括數字證書的真實性、證書校驗、防範中間人攻擊、安全的編碼技術、安全儲存使用者資料等。只有綜合採取這些措施,才能確保網站的安全性。

總結

  HTTP和HTTPS是兩種不同的協議,它們之間有著顯著的區別。HTTPS相較於HTTP來說,更加安全、更具可靠性,但是HTTPS在效能、使用方式、資源消耗等方面都有一定的不足。使用HTTP和HTTPS需要根據網站的具體情況和需求進行選擇,以達到更好的安全性和效能。總的來說,HTTPS在保證資料傳輸安全性和完整性方面有明顯優勢,適合用於涉及敏感資訊的網站,而HTTP則更適合一般網站的訪問。

當然能用HTTPS還是用HTTPS吧。

結尾

  如果覺得對你有幫助,可以多多評論,多多點贊哦,也可以到我的主頁看看,說不定有你喜歡的文章,也可以隨手點個關注哦,謝謝。

  我是不一樣的科技宅,每天進步一點點,體驗不一樣的生活。我們下期見!

相關文章