《深入浅出HTTPS​​​》读书笔记（3）：HTTP本身的安全问题

互联网应用安全包括两部分：

◎HTTP本身的安全问题。

◎Web应用安全问题。

中间人攻击，主要是基于HTTP弱点进行的攻击。

所谓中间人就是在客户端和服务器通信之间有个无形的黑手，而对于客户端和服务器来说，根本没有意识到中间人的存在，也没有办法进行防御。

1）无线WiFi网络的攻击

提供WiFi网络的攻击者可以截获所有的HTTP流量，而可怕的是HTTP流量本身是明文的，攻击者用肉眼就可以知道用户的密码、银行卡信息、浏览习惯，根本不用进行任何的分析就可以获取用户的隐私。

2）垃圾广告攻击

ISP或者攻击者在页面中插入一些恶意JavaScript脚本，脚本一旦在客户端运行可能会产生更恶劣的后果，比如XSS攻击（跨站脚本攻击）。

HTTP在设计之初根本没有考虑安全问题，它的设计目的是数据传输和共享。

安全问题主要有三点原因，这三点也是安全领域的根本问题。

1）数据没有加密

HTTP本身传递的是明文，不会加密这些信息。

2）无法验证身份

在HTTP标准中，没有校验对端身份的标准。

由于通信双方无法确认对方，实现HTTP应用非常灵活，也产生了很多中间设备，比如代理服务器、网关服务器。

3）数据易篡改

对于客户端和服务器来说，没有任何技术来确保接收的数据就是发送者发送的原始数据。

HTTP安全问题主要是这三点导致的，而解决的办法就是使用HTTPS，在理解的时候，一定要明白HTTPS是如何解决这三个核心问题的。