Le web utilise le protocole « HTTP » ou « HTTPS » pour la transmission des informations. Le protocole HTTP spécifie le type de messages que le client peut envoyer au serveur et le type de réponse qu'il obtient ; tandis que le protocole HTTPS est un canal HTTP destiné à la sécurité. Basé sur HTTP, il assure la sécurité du processus de transmission grâce au cryptage de la transmission. et l'authentification de l'identité.
L'environnement d'exploitation de ce tutoriel : système Windows 10, ordinateur Dell G3.
le web utilise le protocole "HTTP" ou "HTTPS" pour la transmission des informations.
HTTP
Hypertext Transfer Protocol (HTTP) est un simple protocole de requête-réponse qui s'exécute généralement au-dessus de TCP. Il spécifie le type de messages que le client peut envoyer au serveur et le type de réponse qu'il reçoit. Les en-têtes des messages de requête et de réponse sont donnés au format ASCII ; le contenu du message a un format de type MIME. Ce modèle simple a été à l'origine du succès précoce du Web car il rendait le développement et le déploiement très simples.
Inconvénients du HTTP :
Bien que HTTP soit largement utilisé, il présente de nombreuses failles de sécurité, principalement sa transmission de données en texte clair et le manque de détection de l'intégrité des messages. aspect de sécurité qui nécessite le plus d’attention dans les applications émergentes telles que le paiement et les transactions en ligne.
Concernant la transmission de données HTTP en clair, la méthode d'attaque la plus couramment utilisée par les attaquants est le reniflage du réseau, en essayant d'analyser les données sensibles du processus de transmission, telles que le processus de connexion de l'administrateur à l'arrière-plan du programme Web, etc., ainsi Obtenez les droits de gestion du site Web, puis pénétrez dans l’intégralité du serveur. Même si les informations de connexion du backend ne peuvent pas être obtenues, les attaquants peuvent toujours obtenir les informations privées des utilisateurs ordinaires du réseau, notamment les numéros de téléphone mobile, les numéros d'identification, les numéros de carte de crédit et d'autres informations importantes, entraînant de graves incidents de sécurité. Réaliser une attaque par reniflage de réseau est très simple et nécessite très peu de la part de l'attaquant. En utilisant n'importe quel outil de capture de paquets publié sur Internet, il est possible pour un novice d'obtenir des informations sur les utilisateurs de grands sites Web.
De plus, lorsque HTTP transmet les requêtes des clients et les réponses du serveur, la seule vérification de l'intégrité des données est que la longueur des données transmises est incluse dans l'en-tête du message, et il n'y a aucune confirmation si le contenu a été falsifié. . Par conséquent, un attaquant peut facilement lancer une attaque de l'homme du milieu, modifier les données transmises entre le client et le serveur, et même insérer un code malveillant dans les données transmises, ce qui redirigera le client vers un site Web malveillant et l'implantera. avec un cheval de Troie.
HTTPS
HTTPS (nom complet : Hyper Text Transfer Protocol over SecureSocket Layer) est un canal HTTP axé sur la sécurité qui utilise le cryptage de transmission et l'authentification d'identité garantit la sécurité de le processus de transmission. HTTPS ajoute SSL à la base de HTTPS. La base de sécurité de HTTPS est SSL, donc les détails du cryptage nécessitent SSL. HTTPS a un port par défaut différent de HTTP et une couche de cryptage/authentification (entre HTTP et TCP). Ce système fournit des méthodes d'authentification et de communication cryptées. Il est largement utilisé pour les communications sensibles en matière de sécurité sur le World Wide Web, telles que les paiements transactionnels.
Le protocole HTTPS est un protocole réseau construit à partir du protocole HTTP plus TLS/SSL qui peut effectuer une transmission cryptée et une authentification d'identité. Il complète principalement le cryptage de la transmission de données Internet via des certificats numériques, des algorithmes de cryptage, des clés asymétriques et d'autres technologies. Protection de la sécurité des transmissions Internet. Il y a trois objectifs de conception principaux.
(1) Confidentialité des données : Assurez-vous que le contenu des données ne sera pas vu par des tiers pendant la transmission. Tout comme un coursier livrant un colis, celui-ci est scellé afin que les autres ne puissent pas savoir ce qu'il contient.
(2) Intégrité des données : détection rapide du contenu de la transmission qui a été falsifié par un tiers. Tout comme un coursier qui ne sait pas ce qu'il y a dans un colis, mais qui risque de le laisser tomber à mi-chemin, l'intégrité des données signifie que si un colis est abandonné, nous pouvons facilement le retrouver et le rejeter.
(3) Sécurité de la vérification d'identité : assurez-vous que les données atteignent la destination attendue par l'utilisateur. Tout comme lorsque nous postons un colis, même s'il s'agit d'un colis qui n'a pas été abandonné, nous devons nous assurer que le colis ne sera pas envoyé au mauvais endroit, et nous assurer qu'il est envoyé au bon endroit grâce à une vérification d'identité.
Pour plus de connaissances connexes, veuillez visiter la colonne FAQ !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
