我们是否在刻意回避这三大关键问题？

2、HTTPS传输更安全

为了保证这些隐私数据能加密传输，Netscape（网景）公司设计了安全套接层（Secure Sockets Layer，SSL）协议用于对HTTP传输的数据进行加密，从而诞生了HTTPS。

HTTPS能够加密信息，可防止数据信息在传输过程中被第三方窃取、修改，确保数据的完整性，所以很多银行网站或电子邮箱等安全级别较高的服务采用了HTTPS。随着安全意识的提高，目前主流网站陆续在使用HTTPS。

图6展示了HTTPS的请求过程，客户端在接收到服务端发来的SSL证书时，会对证书的真伪进行校验。下面以浏览器为例进行说明。
 

客户端使用公钥加密对称密钥，服务器收到信息后，用私钥解密，提取出对称加密算法和对称密钥后，后续两者之间信息的传输便可使用对称加密的方式。

但是还存在以下问题。

（1）客户端获得的公钥无法确定是真实的还是攻击者伪造的。

（2）无法确认服务器是真实的而不是攻击者的。

因此传输过程还是存在被劫持可能性，如图5所示。
 

使用对称加密，双方拥有相同的密钥，信息得到安全传输，但此种方式有以下缺点。

（1）不同的客户端、服务器数量庞大，所以双方都需要维护大量的密钥，维护成本很高。

（2）因每个客户端、服务器的安全级别不同，所以密钥极易泄露。

为了防止对称加密中的密钥泄露，如图3所示，使用非对称加密客户端用公钥对请求内容加密，服务器使用私钥对内容解密，反之亦然。但这个过程也存在缺点，公钥是公开的（也就是攻击者也会有公钥），所以服务端私钥加密的信息，如果被恶意攻击者截获，攻击者可以使用公钥行解密，获取其中的内容。
 

除了Web系统本身不要出现漏洞而被攻击者利用外，还需要将内容数据安全地送达给用户，并且用户安全地接收内容数据。防止在传输过程中内容被篡改，防止用户提交非法内容，确保接收的内容是系统可接收的。

1、不安全的HTTP传输

HTTP传输的数据都是未加密的，也就是明文，因此在传输过程中，随时可能被截获，客户端与服务器之间没有任何身份确认的过程，数据全部明文传输，所以很容易遭到攻击，因此使用HTTP传输隐私信息非常不安全。

图1是普通HTTP的传输，HTTP传输面临以下风险。

（1）窃听风险：攻击者可以获取所有通信内容。

（2）篡改风险：攻击者可以修改所有通信内容。

（3）冒充风险：攻击者以冒充他人身份参与通信。

（编辑：伊春站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!