您能否解释 http 和 https 协议之间的区别..
- 如果数据是通过通信明确传输的,任何中继拦截者均可拦截数据以便操纵。
- 由于提出请求的客户和应答服务器没有识别连接的两侧,有人自称是通信员,可能无人注意。
- 也没有建立核查和保障数据完整性的程序,而且涉及此事的双方都无法发现更改过的数据。
最后更新:2021-10-29 15:33:57 手机定位技术交流文章
作为软件测试者,我们都知道,我们必须学习和掌握的一些最受欢迎的网络协议,如HTTP协议,是两项极为全面的协议,因此更经常地要求与采访者面谈;由于它们有可比和相关地址,因此访谈者经常问一个问题,以检查你的知识深度,而面谈者经常问一个问题,以检查你的知识深度,我们都知道,我们必须学习和掌握的一些最受欢迎的网络协议,如HTTP协议,是两项极为全面的协议,因此更经常地要求与采访者面谈;由于它们有可比和相关的地址,因此访谈者为检查你知识的深度而经常问的一个问题就是:
您能否解释 http 和 https 协议之间的区别?
HTTP 协议
事实上,你无疑熟悉《http 协议》。 HTTP协议, 超文本传输协议(超文本传输协议)的全名。 它以三个 TCP 握手连接为基础运作, 因此, http 协议是基于 TCP 协议的80个港口应用层协议, 其主要目的是将WW 协议在万维网上的资源转移给本地浏览器。
HTTP 协议是一个标准, 因为它主要用于为客户和服务指定数据传输的格式。 但是它如何定义这个规范建立TTP 协议是一个标准, 因为它主要用于为客户和服务指定数据传输的格式。 但是它如何定义这个规范? 这需要查看这个协议的具体内容。 我们将用一个小提琴袋来视觉查看这个页面的文本 :
每个连接都包含请求和回复信息, 正如您提交访问浏览器上100度页面的请求, 100度服务器回应并向我显示100度页面, 因此 HTTP 协议建立在请求和回复模式上 。
请求消息
我们先从 HTTP 协议请求信件开始, 即 http 批注, 提及客户端到服务请求信件, 其中包括以下信息:
请求行
请求方法包括请求方法( GET、 POST 等) 、 请求地址 uri、 HTTP versiforth 等 。
请求头
:内容范围广泛,例如内容类型(客户对服务器数据格式)、用户代理(确定基本的客户信息)等。
空一行
表明请求结论的格式标准
请求体
:请求机构,典型参数,等等。
以下图表显示在指定的抓取袋中 :
响应消息
服务器将响应客户的要求,即http://response, 包括以下四个要素:
响应行
载有关于 http 版本和回复状态代码的信息。
响应头
还提供了额外的类型,例如内容-类型(回复信息形式)、饼干类等。
空一行
:说明答复的结论
响应正文
界面测试还侧重于服务答复中的具体数据,如XML和JSON格式。
从上面关于袋子的资料可以看出,在http上的协议包括下列特点:
但是,随着互联网的发展,我们越来越多的业务是在网上进行的。
安全性
由于人们越来越注意这个问题,针对《HTTP协定》的危险特性,达成了一项新的协定。
HTTPS 协议
。
HTTPS 协议
HTTPS,或超文本传输协议安全议定书,是HTTP安全频道和HTTP安全议定书的简化安全版本。
那么,它如何确保安全?
如图所示,HTTPS协议是HTTP和TCP之间的SSL层,因此其安全已经通过。
ssl 协议
由于HTTPS协议通常被提及:
SSL shell HTTP 协议
。
那么,这个SSL协议提供了什么样的安全?
HTTP+加密+认证+总安全等于 HTTPS
SSL 握手过程
我们需要查看 HTTPS 函数流, 以了解这些安全方法是如何运作的。 举例来说。
SSL 连接设置的握手
过程:
在这一过程中,我们讨论了以下各点:
一. 客户端通过向服务器发送欢迎信息启动 SSL 互动 。
客户要求明确传递所要求的信息,例如版本信息、加密软件包清单、压缩算法清单、随机数字、扩大字段等等。
· 客户支持的加密软件包 -- -- 密码套件清单 -- -- 每个加密软件包都与先前的TLS原则中的四项功能组合:
Au( 识别者) 认证算法
按键交换的算法( KeyExchange)
Enc( Info 加密) 对称加密算法
资料摘要(全面核查);
当服务器使用 SSL 进行互动时, 请与服务器 Hello 回复 。
协商结果由服务端返回,包括所选择的协议版本、所选择的加密软件包、所使用的压缩方法、随机数字随机随机_S,等等,并使用随机数字进行密钥协商后的随机数。
无法打开文件夹“%s”:%s
在认证和关键交换方面,使用了相关证书链的服务器侧端设置;电文包括一个公用钥匙证书,客户可通过该证书确认服务器的身份,防止第三方伪造并确保对话双方的合法性。
Four. 服务器向客户端发送服务器 Hello Done message.
电文已转发给客户端,发送者服务器_ello电文的结论显示,SSL 握手协商部分已经开始。
Cliet Key Exchange是客户的第五反应
客户从服务器收到证书时,验证其真实性,如果证书通过,则进行后续通信;否则,指示和行动视问题的条件而改变。
验证证书后, 客户端生成随机整数, 称为 Premaster 密码字符串, 并使用证书的公用密钥将其传送到服务器; 信件使用第 3 步的公用密钥加密 。
在目前阶段,客户已经获得计算咨询密钥所需的全部信息:两个明确的随机整数,随机_C和随机_S,以及使用自己的计算方法,即谈判的密钥,生成的高级主管。
第六,客户再次发送更改密码Spec的讯息
客户通知服务器,所有进一步的对话都将使用商定的通信钥匙和加密技术加密。
第七,客户发送了(加密_ handshake_ messesage)
创建数据集,包括以往所有通信参数的散列值和其他必要信息,使用算法对已商定的电文集进行加密,然后将其传送到服务器,以获取数据并进行握手验证;电文包含与迄今提交的所有呈件相关的总体核实值。
第八,服务器发送更改密码Spec信息。
服务器根据先前交换的两个明确随机数字( Rrandom_C 和 随机_S)使用私密密钥解密预机数据,其计算方法是: enc_key=Fuc( Random_C, 随机_S, Pre-Master); 然后计算以前收到的所有散列值, 解密客户的加密_ handshake_ messagesage 以验证数据和密钥有效性 。
验证后,服务器还将发送更改_copher_spec 通知客户端,所有进一步的互动将使用商定的密钥和算法加密。
九. 完成后,服务器发送了相同的信件( 加密_ handshake_ message ) 。
此外,服务器还结合所有当前通信参数信息制作了一张数据,加密并使用算法将数据传送给客户端,使用已商定的电文集。
客户端计算所有收到信息的散列值, 并使用协商键解密_ handshake_ messesage 验证服务器提供的数据和密钥, 使用握手验证 。
十. 开始应用层协议通信,即提交HTTP请求
当服务器和客户端交换已完成的信件时,将建立 SSL 连接。 HTTP 的通信信息已被正式传送到 http, 当然, 通信信息由 SSL 加密 。
一份称为MAC的报告摘要(MAC(Message Management Code))与申请一级的数据分发有关,MAC可以核实报告是否被篡改,维护报告的完整性。
十一.A 分层议定书通信,即提供HTTP答复
十二. 最后, 客户端断开连接。 当断开连接时, 密讯会发送 。
上图被省略,在这一阶段之后是TCP FIN信息,以终止TCP连接。
我们可以通过遵循上述12个步骤,明确观察SSL如何保护数据:
(1) 使用证书认证来文双方的身份,确保身份的有效性,并防止第三方伪造;
(2) 使用商定的钥匙加密通信数据,以确保数据不被任何数据拦截器查看,而且数据是保密的;
(3) MAC报告摘要确保数据的完整性,确保数据不被篡改。
使用 HTTP 协议或 HTPS 协议是否更好?
说到这个,我们会发现 HTTPS 协议比 HTTP 协议更安全, 但我们在日常生活中仍然会遇到一些使用 HTTP 协议的网站。 鉴于 HTTPS 如此安全和可信, 为什么不是所有网站都使用它? 主要原因如下:
1. 增加使用计算机资源
加密通信比纯文本通信需要更多的CPU和存储资源,如果每次通信都加密,将使用大量资源,如果平均分配给计算机,可以处理的请求数量将有限。
2. 沟通将更加困难。
:网络负荷可能比使用 HTTP时慢2至100倍。除脱钩和提供 HTTP 请求外,除了需要SSL 互动,因此,总体交通处理必然会增加。
3.
服务器和客户机性能要求越来越高。
由于大量资源消耗(如CPU和内存)导致处理缓慢,由于服务器和客户端必须保证SSL的安全,HTTP需要的硬件资源多于服务器和客户端,导致负载增加。
四. 证明书有额外费用。
HTTPS通信需要证书,证书必须由认证机构(CA)取得,证书的价格因认证机构的不同而不同,通常一年的任务费用为600-100元,购买证书的成本效益不高的服务以及一些个人网站只能使用HTTP的通信方法。
HTTP 与 HTTP 和 HTPS 之间的差别
最后, 以下是http与https协议之间差异的总结:
公司需要答复高频访谈的个人可以免费访问以下链接。
公司高频访谈的真问题(附有答复)
本文由 在线网速测试 整理编辑,转载请注明出处。
