2)服务器返回的 HTTP 响应报文可能也并没有被正确的客户端所接收,可能是已伪装的客户端
3)无法确定正在通信的对方是否具备访问权限
4)无法判定请求来自何方,出自谁手
5)即使是无意义的请求也会照单全收
③ 报文被篡改HTTP 无法证明报文的完整性,所谓完整性就是指信息的准确度。若无法证明完整性,在 HTTP 请求或响应 送出之后直到对方接收的这段时间内,即使请求或响应的内容遭到攻击者篡改,也没有办法获悉。
通俗来说,HTTP 没有办法确认发送出去的请求和接收到的请求是否一致。
举个例子,你从某个使用 HTTP 的非正规网站上下载微信 APP,存放在服务器上的文件确实是微信 APP,但是,在你下载的过程当中,攻击者攻击了这个网站,你正在传输的文件内容被篡改成了其他文件,而在这个过程中,你是完全察觉不到的。
像这样的在请求或响应在传输途中,遭受攻击者拦截并篡改内容的攻击称为中间人攻击(Main-in-the-Middle attack, MITM)。
HTTPS 协议并非应用层的一个新协议,只是 HTTP 通信接口部分用 SSL(Secure Socket Layer)和 TLS(Transport Layer Security)协议代替而已。
通常 HTTP 是直接和 TCP 进行通信的,当使用 SSL 时,则演变成先和 SSL 通信,再由 SSL 和 TCP 进行通信。简而言之。所谓 HTTPS,就是身批 SSL 协议外壳的 HTTP。
在采用 SSL 后,HTTP 就拥有了加密、证书和完整性保护等功能,而这些功能正是用来解决我们上述所说的 HTTP 不安全问题的。
