产品经理懂点技术:什么是https,与http有什么区别

每天都在上网,你有留意到网址有什么区别吗?本文主要围绕https和与http的异同点进行分析了探究,与大家分享。

某天,产品汪突然发现,自家的产品在电脑浏览器上打开、在微信浏览器里面打开,都被提示“不安全”!这样用户看到该有多困扰啊。

Gооgle Chrome对不安全网址的提示:

微信打开不安全网址时的提示“防欺诈盗号,请勿支付或输入qq密码”:

小汪就纳闷了,我们什么都没做啊,咋就不安全了呢?经过一番研究,原来是自家产品的网址,都是http开头的,而不是https开头的,与程序猿X沟通一番后,全部链接换成了https,就再也不会有这样的提示了。

什么是http?

要搞清什么是https前,首先要了解什么是http。

HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW(万维网)文件都必须遵守这个标准。我们常见我网站、X上的H5、甚至XX器端很多的接口,都是采用HTTP协议实现。

所以我们需要上百度,就在浏览器中输入http://www.baidu.com,就可以访问百度的网站了。当然,一般的浏览器如果你没有输入http://,也会帮你自动补全这一部分的。

以X浏览器为例,输入访问 sports.sina.com.cn/nba/ 并访问新浪体育的NBA频道,然后点一下地址栏,复制一下网址。随便找个地方粘贴一遍:http://sports.sina.com.cn/nba/,就能发现前面已经带上了http://协议的标志。

http的传输,具有简单、灵活的特点,但缺点是使用明文传输,请qiú和响应不会对通信方进行确认、无fǎ保护数据的完整性,传输内容容易被窃取。

什么是https?为什么要用https

HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上X传输加密和身份认证保证了传输过程的安全性。

网页内容采用https传输后,用户端和X器端将X“非对称加密算fǎ”交换秘钥。X器,也就是上图中的小红,先会生成一个公钥、一个秘钥。然后用X封装公钥之后,把X交给用户,也就是上图中的小明。

什么是X?

CAX,是指由X颁发X(CA, Certificate Authority)即颁发数字X的X,颁布给对应X用的数字X。CA是负责发放和管理数字X的泉威X,并作为电子X交易中受信任的第三方,承担公钥X中公钥的合fǎ性检验的责任。一般来说,XX都是要收费的。

世界上很有多家X颁发X,程序猿X们也可以生成自己的X,但是很多X是“不受信任的”,我们使用的微信、Gооgle Chrome浏览器、iPhone的iOS系统等,都只选择信任那些具备公信力的X颁发X颁发的X。

X颁发X就像我们用的四通一达快递一样,大家选择他们就是因为觉得信得过,快递被掉包的可能性低。而那些小X、或自行颁发的X,就像一家没听说过的快递X一样,大家去选择他们收发快递时,也不是不能用,但是碰上快递被盗的概率就可能上升。

用户在获得X器给的X后,觉得这个X值得信任,就打开它获得里面的公钥,与此同时,用户端会生成一串随机的字符串,然后用X器的公钥对字符串进行加密,把加密完的内容发给X费。

X器在获得用户发送的密文后,用私钥解密,就获得了用户端的密码。这个过程就叫做非对称加密。

X器知道了用户的密码后,双方传输数据前,都先用用户生成的那个密码对数据进行加密,然后再传输给对方,然后对方用这个密码进行解密。加密解密都用同一个秘钥的时候,这个过程就叫做对称加密。

https的传输过程就是如此,先用非对称加密传输让双方获得一个对称加密的秘钥,然后双方再用这个对称秘钥进行数据的传输加密,这样能兼顾安全和快速。由于采用了密文传输,这时候第三方就不能X用户和X器之间传输的内容了,这时候网站的安全性就获得了提高。

可是这时候,小汪又想起另外一个问题,平常出了bug,程序猿X们总是在说抓包抓包的,要抓包看看到底传了什么导致出错的,我们网站用了https协议后,数据就被加密了,那传了什么就不知道啦,那以后遇到bug怎么办呢?然后程序员X会心一笑说:其实并没有什么,https也是可以抓包的,只需要安装一个X就可以了。

对https抓包的原理

前文提到了,X器在把公钥发送给用户时,使用了一个X来封装公钥,就像我们把东西寄给别人时,先用快递袋装好,再寄出去。如果我们选择了一家不可靠的快递X,快递员偷偷把快递袋chāi了,把里面的东西换了(也可能只是chāi开看看里面都有啥),重新打包,再把快递继续送给对方,这就实现了https的抓包过程。

程序猿X说的“装一个X”,其实就是信任抓包软件的第三方X,然后这个“黑心的快递员”,就会作为一个不老实的中间人,窃取了用户端生成的对称秘钥,然后不断的记录下用户与X器之间传输的密文,并且用窃取到的秘钥进行解密,这样就知道了双方之间传输的内容了。

小汪这时候恍然大悟,难怪网络上经常说,电脑和X上不要乱装软件,网站虽然用了https加密传输的内容,但是如果自己X上装了一个类似抓包软件的病dú软件,这时候就相当于把自己的账号密码、聊天内容都拱手送了出去呀!

收藏 (0) 打赏

以上内容不错,打赏支持一下!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

声明:本站所有教程资源,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

雄发创业网 自媒体是如何赚钱的 产品经理懂点技术:什么是https,与http有什么区别 https://www.xiongfawang.com/3461.html

常见问题

相关文章

产品经理懂点技术:什么是https,与http有什么区别-海报

分享本文封面