首先,我是一名网络开发人员,而不是安全专家。我已经阅读了很多关于HTTPS和HTTP之间区别的文章,包括这个站点。
我从他们那里得到的基本想法是,当使用HTTPS时,所有内容都在客户端加密,然后发送到服务器。(如果我错了请纠正我)
因此,即使是我们network admin或网络中的其他人也无法获得任何东西。
当我在家中使用笔记本电脑(受信任的网络)时,使用HTTPS优于HTTP有什么优势吗?
使用我家/自己的互联网连接时,HTTP 和 HTTPS 之间有什么区别吗
信息安全
Web应用程序
网页浏览器
http
2021-08-22 13:49:53
4个回答
TLS 提供了三件事:
- 机密性:没有人可以看到您和
facebook.com(包括星巴克隔壁桌子上的那个人、您的 ISP、数据中心COUGH NSA中的一些粗略网络设备,没有人)之间的流量。 - 完整性:当消息在您之间传输时,没有人会修改消息
facebook.com(这与机密性是分开的,因为某些类型的攻击允许您以恶意方式修改消息,即使您不知道消息是什么)。 - 身份验证:您正在与真实
facebook.com服务器交谈,而不是它的欺骗版本。
我从他们那里得到的基本想法是,当使用 https 时,所有东西都在客户端加密,然后发送到服务器。(如果我错了请纠正我)
这涵盖了机密性和完整性部分,但您缺少身份验证部分:
证明您不是在与欺骗性的网络服务器交谈。
假设我设置了 Facebook 的网络钓鱼版本,并且我以某种方式侵入了您的家庭路由器(简单)或 ISP(更难),因此当您键入facebook.com它时,它会解析为我的 IP 地址,而不是真实的 IP 地址。我已经创建了您期望的登录屏幕的精确副本,您将输入您的用户名和密码。哇哈哈!现在我有了你的用户名和密码。
HTTPS 如何防止这种情况发生?答:有证书:
如果我们在浏览器的开发工具 > 安全中打开证书,我们会看到:
DigiCert 就是所谓的公共信任证书颁发机构 (CA)。事实上,DigiCert 是您的浏览器天生信任的 CA 之一,因为它的“根证书”嵌入到浏览器的源代码中。您可以通过在浏览器设置中挖掘并查找“证书”或“受信任的根”或其他内容来查看受信任的根 CA 的完整列表。
因此,您的浏览器天生信任 DigiCert,并且通过此证书,DigiCert 已经证明您正在与之交谈的服务器是真实的facebook.com(因为它具有与证书匹配的私钥)。你拿到绿色挂锁,你就知道一切都很好。
只是为了好玩,让我们做一个假的facebook.com。我将此行添加到我的主机文件中,以便在我键入时facebook.com它会重定向到google.com的 IP 地址:
209.85.147.138 facebook.com
谷歌,试图窃取我的 Facebook 密码做什么?谢天谢地,HTTPS 在这里保护我!我的浏览器非常不满意,因为它提供的证书 (for google.com) 与它请求的 URL ( facebook.com)不匹配。感谢 HTTPS!
简短的回答:
HTTPS 旨在在已注册的网站与其用户计算机之间建立安全连接,因此您可以确定访问的网站确实是您想要访问的网站,并且在传输过程中不会获取/更改数据。
长答案:
如果我理解正确,您的基本想法是,只有网络管理员可以监控您的活动,而家里没有这样的事情。不是这种情况。
任何个人、团体、公司 (ISP) 或州都可以看到和更改传输,并由此感染您的计算机。如今的互联网更像是一个网络战区,其中提到的实体经常攻击他们的盟友,以窃取信息=金钱=权力,获得控制权,通过黑客攻击威胁或伤害人们。甚至国家工具也可供黑市上的个人使用。持久性工具/恶意软件可以在更改硬盘驱动器后继续存在,因此它们可以长期监控/伤害您。
https 的问题在于,它也可以通过多种方式被黑客入侵,因此它会给你一种虚假的安全感,这可能更危险。
这就是为什么尽可能使用 https 并关心系统安全性很重要的原因。如果可能,您可以下载浏览器扩展程序以自动将您定向到 HTTPS 站点。
到目前为止,其他答案都很好。我再补充一个角度:互联网是一个松散连接的路由器网状网络;您的家庭 wifi 路由器只是其中之一。您与网络上其他地方的 Web 服务器建立的任何 HTTP 连接通常需要经过十几个路由器的路径才能到达那里。该路径会根据网络状况频繁变化;您无法预测您将使用谁的路由器。这些路由器中的每一个都由不同的人或公司[1]拥有和管理。
所有这些人都有能力在您的数据过去时观察您的数据。他们可能会在日常故障排除过程中,在非恶意情况下例行执行此操作,因为路由器网状网络需要持续监控和管理以保持其运行;这项工作仅包括几个职业领域。(选择这些职业领域的人往往对良好的安全性相当坚定,并且往往会认真对待他们的社会责任,但在实际意义上使他们远离您的数据的唯一原因是他们自己的良心和声誉。)
所以设备、软件和能力已经存在;坏人所要做的就是选择别人的路由器或监控系统。
HTTPS 连接采用相同的路径,但由于它们是加密的,只有 Web 服务器的管理员才能看到明文内容;路由器管理员只会看到看起来像随机噪音的东西。(Web 服务器本身可能会受到威胁,但这是另一个问题。)
[1] 自己使用tracerouteortracert命令可以让您大致了解这些路径的外观。
使用 HTTP,信息在您的计算机和服务器之间通过此管道流动:
从左到右:您的计算机、计算机周围的空域和 wifi 路由器、路由器、连接本地 ISP 盒的电缆、本地 ISP 盒、您一无所知且无法控制的庞大设备和电线网络上,服务器的本地 ISP 盒、连接服务器的电缆和服务器本身。
在红色区域的任何地方,信息都可以被窥探和篡改。任何控制其中一个红框的人都可以窥探和篡改信息。任何人都可以打开其中一个红色管道并访问流经它的信息并窥探或篡改它。
您的信息仅在绿色和蓝色框和管道内是安全的。
使用 HTTPS,信息流经此管道:
你的计算机和服务器建立了一个打不开的虚拟管道,并通过彼此之间的所有管道和盒子运行它。现在,您的信息在传输的每个点都是安全的。
其它你可能感兴趣的问题