HTTP缺点
- 通讯使用明文不加密,内容可能被窃听
- 不验证通信方的身份,有可能遭遇伪装
- 无法证明报文的完整性,所以有可能已遭篡改
这些问题不仅仅存在http协议中,其他未加密的协议也会有相同的问题。
1
窃听相同段上的通信并非难事,只需要手机在互联网上流动的数据包(帧)就行了。对于收集来的数据包的解析工作,可以交给抓包工具(Packet Capture )或者嗅探器(Sniffer)。
防止窃听的方式可以将通信加密,通过SSL(安全套接层)或者TLS(安全传输协议)。
2
http协议通讯的时候,不存在确认通信处理步骤,任何人都可以发起请求,另外只要服务器接收到请求,不管对方是谁都会返回一个相应。(仅限于发送端的IP和端口号没有被Web服务器设置限制的前提下)
可以通过证书的手段,确定对方通信。
3
由于HTTP协议无法证明通信报文的完整性,因此,在请求或响应送出之后到对面接收之前的这段时间内,即便请求或者响应内容遭到篡改也没办法获悉。
如何防止篡改,常用的方法用MD5和SHA-1等散列值的校验方法,以及用来确认文件的数字签名方法。