https://ps5.mediatagtw.com/article/maneater ps4懶人包 (2024年更新)

HTTPS 协议是由 SSL+HTTP构建的可进行加密传输、身份认证的网络协议，要比 HTTP安全，可防止数据在传输过程中被窃取、改变，确保数据的完整性。 ① 客户端的浏览器首先要通过网络与服务器建立连接，该连接是通过TCP 来完成的，一般 TCP 连接的端口号是80。建立连接后，客户机发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是 MIME 信息包括请求修饰符、客户机信息和许可内容。

對於 cookie 的使用並沒有法律上或技術上的規定，但可利用 DNT https://ps5.mediatagtw.com/article/maneater ps4 標頭，指示網頁應用程式關閉頁面的追蹤、或跨站的使用者追蹤。 HTTP 狀態回應碼 HTTP 狀態碼用來表示特定的 HTTP 請求是否已成功完成。回應分為五類：資訊回應、成功回應、重定向、用戶端錯誤、以及伺服器錯誤。

目錄（立即跳往）

https://ps5.mediatagtw.com/article/maneater ps4: 瀏覽器實作

Cookie 通常存於瀏覽器中，並隨著請求被放在Cookie HTTP 標頭內，傳給同個伺服器。可以註明 Cookie 的有效或終止時間，超過後 Cookie 將不再發送。此外，也可以限制 Cookie 不傳送到特定的網域或路徑。

有HTTP轉換HTTPS的需求，建議可以尋求專家的幫助。
不知从什么时候开始，当我们在输入我们需要打开的网页的网址，前面的http变成了https，那么，https是什么呢？
Google為什麼要鼓勵大家將HTTP轉換為HTTPS？
HTTPS 协议是由 SSL+HTTP构建的可进行加密传输、身份认证的网络协议，要比 HTTP安全，可防止数据在传输过程中被窃取、改变，确保数据的完整性。
Mozilla Observatory 旨在幫助開發者、系統管理員和安全專業人員安全地配置網站的專案。

由此可見，HTTP是否轉換為HTTPS，對網站的SEO影響甚大。（1）从 HTTP 转向 HTTPS 的应用改造要点：HTTP 页面分析评估信息数据安全等级；WEB 页面访问改造；站点证书申请和部署；启用 HTTPS 协议支持，增加 TCP-443 端口，对外服务。可以看到，鉴于电子商务等安全上的需求，HTTPS对比HTTP，在安全方面已经取得了极大的增强。

https://ps5.mediatagtw.com/article/maneater ps4: 建立 cookies

今天從加密的方式出發，考慮每種加密通訊過程中可能受到的攻擊，逐步演變成現今最普遍的加密方式，並藉此來說明 HTTP 與 HTTPS 之間的差異，希望能幫助讀者您理解網路通訊中最基礎的安全知識。當通訊開始時，Alice 會先傳遞數位憑證給 Bob，而 Bob 便可以透過數位簽章，來證明憑證的內容確實是屬於 Alice 的；如此一來，證明公鑰是屬於誰的問題就被解決了，即使竊聽者想要從中竊聽，也因為憑證頒發機構的數位簽章，竊聽者將無從介入通訊過程。因此就出現了憑證頒發機構，例如 Alice 和 Bob 要準備進行通訊；在開始之前，Alice 必須先提供公鑰 & Email，向憑證頒發機構申請憑證，憑證頒發機構核可後，便會透過數位簽章包裹 Alice 提供的資料，製作成數位憑證。假想一下：Alice 和 Bob 準備進行通訊，而 Eve 是不懷好意的竊聽者；Alice 把要傳遞的明文經過 Bob 的公鑰進行加密後，再進行傳遞，由於 Bob 的私鑰只有 Bob 擁有，即使 Eve 竊取到了密文，也無法將其解密回明文。 HTTP 全名是超文本傳輸協定（HyperText Transfer Protocol），內容只規範了客戶端請求與伺服器回應的標準，實際上是藉由 TCP 作為資料的傳輸方式。

在大规模用户访问应用的场景下，服务器需要频繁地做加密和解密操作，几乎每一个字节都需要做加解密，这就产生了服务器成本。随着云计算技术的发展，数据中心部署的服务器使用成本在规模增加后逐步下降，相对于用户访问的安全提升，其投入成本已经下降到可接受程度。例如使用者送出了一個請求，經過 TCP 的三次握手之後，資料便能透過 TCP https://ps5.mediatagtw.com/article/maneater ps4 傳遞給伺服器，並等待伺服器回應；然而這個一來一往的傳輸過程，資料都是明文；如果傳遞的過程中有惡意竊聽者，資料便有機會被窺探、盜用。 HTTP是超文本傳輸協定（HyperText Transfer Protocol）的縮寫，代表一種網際網路在傳遞資訊時的協定，其規範在使用者與伺服器之間的資料傳輸必須以TCP協定（傳輸控制協定）的三次握手（three-way handshake）建立連結。现有互联网环境中仍大约有 65% 的网站使用 HTTP，此部分的互联网站的用户访问会存在很高的安全隐患，导致信息泄露、木马植入等情况出现。

https://ps5.mediatagtw.com/article/maneater ps4: 主要作用

HTTPS 协议是由 HTTP 加上 TLS/SSL 协议构建的可进行加密传输、身份认证的网络协议，主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密，实现互联网传输安全保护。在TLS版本1.2中，伺服器端傳送的憑證以明文傳輸，因此中國大陸的防火長城可以對特定網站按照匹配的黑名單憑證，檢測到特定憑證即執行TCP重設攻擊，從而導致TLS連接無法建立。 TLS版本1.3中伺服器端憑證被加密，然而伺服器名稱指示仍未被加密，並成為防火長城檢測的新手段。部署 HTTPS 后，因为 HTTPS 协议的工作要增加额外的计算资源消耗，例如 SSL 协议加密算法和 SSL 交互次数将占用一定的计算资源和服务器成本。

CSP 指令 (en-US) Content-Security-Policy (en-US) 回應檔頭讓網站管理員控制哪些頁面上的資源能被用戶端程式（user agent）載入。除了少數特例外，此政策主要關於指定來源伺服器和腳本程式的端點（endpoints）。（2）数据完整性：及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西，但他有可能中途掉包，数据完整性就是指如果被掉包，我们能轻松发现并拒收。 HTTP不是安全的，而且攻擊者可以透過監聽和中間人攻擊等手段，取得網站帳戶和敏感訊息等。

https://ps5.mediatagtw.com/article/maneater ps4: JavaScript 使用 Document.cookie 存取

为提升用户服务体验，此类 HTTP 网站还部署了内容分发网络（Content Delivery Network，CDN），通过 CDN 将用户需要访问的信息放到离用户所在物理地区最近内容服务站点，可以大幅提升互联网对外服务的获取速度，提供最佳访问体验。上述 CDN 通常为基于 HTTP的互联网应用提供服务，而随着互联网环境中的劫持、篡改等访问安全问题的日趋严峻，CDN https://ps5.mediatagtw.com/article/maneater ps4 提供的网络分发方案也需要支持 HTTP改造为 HTTPS 协议。下面是对 HTTP 到 HTTPS 改造应用和网络的方案介绍。我們來打個比方，我們用HTTP傳輸資料時就像是上課在傳紙條，每一次經手都有可能被有心的同學打開偷看，更甚至是竄改內容。客户端和服务端在开始传输数据之前，会协商传输过程需要使用的加密算法。客户端发送协商请求给服务端, 其中包含自己支持的非对称加密的密钥交换算法 ( 一般是RSA), 数据签名摘要算法 ( 一般是SHA或者MD5) , 加密传输数据的对称加密算法 ( 一般是DES),以及加密密钥的长度。

关于 HTTP的明文数据传输, 攻击者最常用的攻击手法就是网络嗅探, 试图从传输过程当中分析出敏感的数据, 例如管理员对 Web 程序后台的登录过程等等, 从而获取网站管理权限, 进而渗透到整个服务器的权限。即使无法获取到后台登录信息, 攻击者也可以从网络中获取普通用户的隐秘信息, 包括手机号码, 身份证号码, 信用卡号等重要资料, 导致严重的安全事故。进行网络嗅探攻击非常简单, 对攻击者的要求很低。使用网络发布的任意一款抓包工具, 一个新手就有可能获取到大型网站的用户信息。

https://ps5.mediatagtw.com/article/maneater ps4: 協定層

HTTPS也可被用作客戶端認證手段來將一些訊息限制給合法的使用者。要做到這樣，管理員通常會給每個使用者建立憑證（通常包含了使用者的名字和電子郵件位址）。這個憑證會被放置在瀏覽器中，並在每次連接到伺服器時由伺服器檢查。要使一網路伺服器準備好接受HTTPS連接，管理員必須建立一數位憑證，並交由憑證頒發機構簽章以使瀏覽器接受。憑證頒發機構會驗證數位憑證持有人和其聲明的為同一人。瀏覽器通常都預裝了憑證頒發機構的憑證，所以他們可以驗證該簽章。

HTTPS的設計可以防止前述攻擊，在正確組態時是安全的。 Path 指出一個必定存在於請求 URL 中的 URL 路徑，使 Cookie 標頭能被傳出。 %x2F（「/」）字元是資料夾分隔符號，子資料夾也同樣會被匹配。 Mozilla Observatory 旨在幫助開發者、系統管理員和安全專業人員安全地配置網站的專案。不知从什么时候开始，当我们在输入我们需要打开的网页的网址，前面的http变成了https，那么，https是什么呢？

https://ps5.mediatagtw.com/article/maneater ps4: 加密

针对这一情况，为互联网提供安全服务而采用 HTTPS 已是大势所趋。 HTTP 到 HTTPS 的转向可以帮助企业网提升用户访问安全水平，特别是对于有敏感信息保存和提供金融交易等服务的企业更有帮助。 Google、Facebook 和国内诸多大型互联网公司应用已经全面支持 HTTPS，并且苹果和谷歌两大公司也在积极推动 HTTPS 扩大应用范围，对 HTTPS 协议在全球网站的部署进度起到加速作用。 HTTPS 全名超文本傳輸安全協定，那個 S 就是 Secure 的意思；HTTPS 透過 HTTP 進行通訊，但通訊過程使用 SSL/TLS 進行加密，藉由類似於前述的加密方式，在 HTTP 之上定義了相對安全的資料傳輸方法。

HTTPS 协议的安全是有范围的，在黑客攻击、拒绝服务攻击和服务器劫持等方面几乎起不到什么作用。（3）身份校验安全性：保证数据到达用户期望的目的地。就像我们邮寄包裹时，虽然是一个封装好的未掉包的包裹，但必须确定这个包裹不会送错地方，通过身份校验来确保送对了地方。 HTTPS報文中的任何東西都被加密，包括所有報頭和荷載。除了可能的選擇密文攻擊（參見局限小節）之外，一個攻擊者所能知道的只有在兩者之間有一連接這一事實。收到一個 HTTP 請求時，伺服器可以傳送一個 Set-Cookie (en-US) 的標頭和回應。

https://ps5.mediatagtw.com/article/maneater ps4: 建立 cookies

儘管作為 TCP/IP 的應用層，HTTP 亦可應用於其他可靠的傳輸層 (例如 UDP)，只要不會無聲無息地遺失訊息即可。經過之前「網域SEO全面解析」的文章介紹後，相信大家對於網域的構成都有了基礎的認識，而HTTP與HTTPS通常會出現在網址的最前端，用以告訴使用者這個網站所使用的資訊傳遞方式為何。 HTTPS 主要由两部分组成：HTTP + SSL / TLS，也就是在 HTTP 上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过 TLS 进行加密，所以传输的数据都是加密后的数据。失败则关闭连接，认证成功则从客户端证书中获得客户端的公钥，一般为1024位或者 2048位。

HTTP不是安全的，而且攻擊者可以透過監聽和中間人攻擊等手段，取得網站帳戶和敏感訊息等。
到此，服务器客户端双方的身份认证结束，双方确保身份都是真实可靠的。
我們來打個比方，我們用HTTP傳輸資料時就像是上課在傳紙條，每一次經手都有可能被有心的同學打開偷看，更甚至是竄改內容。
HTTPS的主要作用是在不安全的網路上建立一個安全信道，並可在使用適當的加密套件和伺服器憑證可被驗證且可被信任時，對竊聽和中間人攻擊提供合理的防護。
HTTP 遵循標準客戶端—伺服器模式，由客戶端連線以發送請求，然後等待接收回應。
服务端接收到消息之后，选中安全性最高的算法，并将选中的算法发送给客户端，完成协商。
进行网络嗅探攻击非常简单, 对攻击者的要求很低。
就像快递员传递包裹一样，都进行了封装，别人无法获知里面装了什么。

因為TLS在HTTP之下工作，對上層協定一無所知，所以TLS伺服器只能為一個IP位址/埠組合提供一個憑證。 https://ps5.mediatagtw.com/article/maneater ps4 這就意味著在大部分情況下，使用HTTPS的同時支援基於名字的虛擬主機是不很現實的。 https://ps5.mediatagtw.com/article/maneater ps4 一種叫伺服器名稱指示（SNI）的方案透過在加密連接建立前向伺服器傳送主機名解決了這一問題。

https://ps5.mediatagtw.com/article/maneater ps4: 協定層

HTTP虽然使用极为广泛, 但是却存在不小的安全缺陷, 主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付, 网络交易等新兴应用中安全方面最需要关注的。在某些情形中，被加密資源的URL可僅透過截獲請求和回應的大小推得，這就可使攻擊者同時知道明文（公開的靜態內容）和密文（被加密過的明文），從而使選擇密文攻擊成為可能。 HTTP cookie（web https://ps5.mediatagtw.com/article/maneater ps4 cookie、browser cookie）為伺服器傳送予使用者瀏覽器的一個小片段資料。

Https实质上是http的升级版，弥补了http的不安全性等因素。特别是在某些国家可以控制 CA 根证书的情况下，中间人攻击一样可行。相同网络环境下，HTTPS 协议会使页面的加载时间延长近 50%，增加 10%到 20%的耗电。此外，HTTPS 协议还会影响缓存，增加数据开销和功耗。（1）数据保密性：保证数据内容在传输的过程中不会被第三方查看。

當然，真實的環境不會用這種很容易被解出來的加密方式，而是會透過例如 AES 等方式進行加密；但兩者同樣的是，都會透過同一個金鑰來進行加密與解密，因此我們把這類的加密方式稱為「共用金鑰加密」，或是「對稱式加密」。像是可能大家都有聽過的凱薩加密法，就是一個非常基本的加密方式：將明文的字母全部位移固定的距離，解密時再位移回來；例如明文是「EGG」，位移距離（金鑰）為 3，那麼加密後的密文就會是「HJJ」。截至2018年6月，Alexa排名前100萬的網站中有[34.6%使用HTTPS作為預設值，網際網路141387個最受歡迎網站的43.1%具有安全實施的HTTPS，以及45%的頁面載入（透過Firefox紀錄）使用HTTPS。 2017年3月，中國註冊域名總數的0.11％使用HTTPS。先说大白话的结论：“HTTPS和HTTP都是数据传输的应用层协议，区别在于HTTPS比HTTP安全”。

就像快递员传递包裹一样，都进行了封装，别人无法获知里面装了什么。終端數位憑證由中介機構簽發、中介機構的憑證由更上游的中介機構簽發，直到源頭，它的憑證由自己簽發，這樣就形成了一個信任鏈。很遺憾的，還是沒辦法；因為通訊的雙方，雖然看得到對方的公鑰，但沒辦法證明這個公鑰是通訊的對方所擁有。