下面分三个模块介绍
A:http和https简单概念
B:http和https的优缺点
C:http和https如何选择
http简单概念:
超文本传输协议 (HTTP-Hypertext transfer protocol) :是一种详细规定了浏览器和万维网服务器之间互相通信的规则,通过因特网传送万维网文档的数据传送协议。
【默认80端口】
http
http优点:
1.http协议传输更简单,响应更快(相比https数次的握手和加密)。
http缺点:
1.http协议在传输数据时是明文的,任何人通过一个简单的抓包工具,就可以截获到所有传输数据。
2.http协议在传输数据时无法保证数据的完整,在截获到明文数据后,很容易就可以将其篡改,这也是一些网页总是被植入恶意广告的原因。
3.http协议在传输数据时无法保证真实性,这也是最恐怖的一点。误入了域名欺骗的钓鱼网站,极容易对用户带来财产损失。
结论:http协议存在较多安全隐患,对于安全性要求加高的公司,这是不能接受的,而实际上大公司在http上已有自己的加密传输协议,但是没有条件的小公司却很难做到。为了更好的服务,https可以推广的方案势在必行。
https简单概念:
简单理解 :https = http协议 + TLS协议。【默认443端口】
在不改变HTTP协议原设计的基础上,为其添加安全性校验并对传输的数据进行加密,黑客篡改难度因此增大,安全性有了更大的提升(只是提升,并非一定安全)。
https
https优点:
1、使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
2、HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
3、HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
https缺点:
1.https通信效率比http慢。没办法啊,提高安全就要牺牲性能。
2.相同网络环境下,HTTPS协议会使页面的加载时间延长近50%,增加10%到20%的耗电(数据不一定准确,肯定是有)。此外,HTTPS协议还会影响缓存,增加数据开销和功耗。
3.https协议的安全是有范围的,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。
4.最关键的,SSL 证书的信用链体系并不安全。特别是在某些国家可以控制 CA 根证书的情况下,中间人攻击一样可行。
5.https是收费的。(这个作为缺点的一个原因是,不同费用的证书安全性不一样,有些人以为配置了https效果都一样,反而放松安全警惕性)
https成本方面
1.SSL的专业证书需要购买,功能越强大的证书费用越高。个人网站、小网站可以选择入门级免费证书。
2.SSL 证书通常需要绑定 固定IP,为服务器增加固定IP会增加一定费用;
3.HTTPS 连接服务器端资源占用高较高多,相同负载下会增加带宽和服务器投入成本;
4.https需要增加升级开发成本。
结论:https优点很明显,在目前方案中,建议配置https。
但是,配置https并非可以高枕无忧,进一度安全加密也不可少,因为https并非绝对安全的。
那么该如何选择?
调研结果
调研用户观点:
(1)正方观点
1、HTTPS具有更好的加密性能,避免用户信息泄露;
2、HTTPS复杂的传输方式,降低网站被劫持的风险;
3、搜索引擎已经全面支持HTTPS抓取、收录,并且会优先展示HTTPS结果;
4、从安全角度来说个人觉得要做HTTPS,不过HTTPS可以采用登录后展示;
5、HTTPS绿锁表示可以提升用户对网站信任程度;
6、基础成本可控,证书及服务器已经有了成型的支持方案;
7、网站加载速度可以通过cdn等方式进行弥补,但是安全不能忽略;
8、HTTPS是网络的发展趋势,早晚都要做;
9、可以有效防止山寨、镜像网站;
(2)反方观点
1、HTTPS会降低用户访问速度,增加网站服务器的计算资源消耗;
2、目前搜索引擎只是收录了小部分HTTPS内容,应该保持观望制度;
3、HTTPS需要申请加密协议,增加了运营成本;
4、百度目前对HTTPS的优先展现效果不明显,谷歌较为明显;
5、技术门槛较高,无从下手;
6、目前站点不涉及私密信息,无需HTTPS;
7、兼容性有待提升,如robots不支持/联盟广告不支持等;
8、HTTPS网站的安全程度有限,该被黑还是被黑;
9、HTTPS维护比较麻烦,在搜索引擎支持HTTP的情况,没必要做HTTPS;
结论:
17.18%赞成,82.82%不赞成。😓用户就是这么任性,不做,不做,就不做,😆。
综合考虑:建议公司还是使用https吧!
移动开发通信之https加密协议SSL/TLS理解
移动开发通信之get/post理解和使用
移动开发通信之API接口安全设计
参考:
百度百科。
http://www.chinaz.com/web/2017/0224/663236.shtml
https://my.oschina.net/u/2340880/blog/807358
网友评论