第七章 确保web安全的https
1.http的缺点:
(1)通信使用明文,内容可能会被窃听
(2)不验证通信方的身份,因此有可能遭遇伪装
(3)无法证明报文的完整性,因此有可能已遭篡改。
2.通信的加密
(1)http没有加密机制,但可以通过和SSL或TLS的组合使用,加密http的通信内容,与SSL组合的http被称为https
(2)内容的加密,就是将需要传输的内容进行加密,不过这种还是有可能被篡改内容。
3.不验证通信方可能遭遇伪装
SSL不仅提供了加密处理,而且还使用了一种被称为证书的手段,可用于确定方。
3.无法证明报文的完整性、可能已遭篡改
4.一般的网站使用http就够了,不过涉及安全比较高的网站还是需要https,http相对于https的优点就是传输速度更快,
对硬件资源消耗更小,不需要购买安全证书等。
第八章 确认访问用户身份的认证
1.密码、动态令牌、数字证书、生物证书、IC卡等。
2.一般是基于表单的认证。