http协议与https协议的区别
http协议与https协议的区别
大家打开网页时,会发现大多数网站都是以http协议开头的,当然也有发现少部分以https开头,例如淘宝,那么,http协议和https协议哪个更安全呢?学习啦小编在这里详细介绍给大家。
HTTP,即超文本传输协议,是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。1960年美国人Ted Nelson构思了一种通过计算机处理文本信息的方法,并称之为超文本(hypertext),这成为了HTTP超文本传输协议标准架构的发展根基。
虽然是当前使用最广泛的协议,但是HTTP协议以明文方式发送内容,不提供任何方式的数据加密,这导致这种方式特别不安全。如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。
所以HTTPS协议正是为解决该问题而生,它可以称之为HTTP协议的安全版。
安全套接字层超文本传输协议HTTPS为了数据传输的安全,在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
相比之下,HTTPS和HTTP的不同主要有以下四点:
一、https协议需要到ca申请证书,一般免费证书很少,需要交费。
二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
那么是不是说使用HTTPS就绝对安全、没有风险了呢?
答案是No。用户常常产生一种误解“银行用户在线使用https协议就能充分彻底保障他们的银行卡号不被偷窃。”实际上,与服务器的加密连接中能保护银行卡号的部分,只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的,这点甚至已被攻击者利用,比如模仿银行域名的钓鱼攻击。
从来没有绝对的安全,例如应用分析服务公司SourceDNA最近报告称,有大量的ios应用存在Https漏洞风险。黑客可以利用这些漏洞进行攻击,然后使用假的安全证书来冒充,以此获取或者篡改用户资料