面试官的几句话,差点让我挂在HTTPS上

软件测试君 2021-11-25 19:25:10
面试 面试官 几句话 几句 句话

在这里插入图片描述

作为软件测试,大家都知道一些常用的网络协议是我们必须要了解和掌握的,比如 HTTP 协议,HTTPS 协议就是两个使用非常广泛的协议,所以也是面试官问的面试的时候问的比较多的两个协议;而且因为这两个协议有相似和关联的地址,面试官为了考察你对其掌握的深度,也经常会问的一个问题就是:你能说说 http 协议和 https 协议的区别么?

一、HTTP 协议

其实对于 http 协议,大家可能都比较熟悉。HTTP 协议,全称是 Hyper Text Transfer Protocol(超文本传输协议)。它是在 TCP 三次握手建立了链接的基础上工作的,所以 http 协议是基于 TCP 协议的 80 端口的应用层协议,主要作用是用于从万维网 WWW 传输资源到本地浏览器的传送协议。

HTTP 协议做的事情主要是用来规定客户端和服务端的数据传输格式,所以它是一个标准和规范。那它是怎么定义这个规范的呢?这就需要我们来看一下这个协议的具体内容了。我们接下来就用 fiddler 抓包来直观地看一下这个报文的内容:

每一个 http 连接包括请求消息和响应消息两个部分, 就像你在浏览器里发送要访问百度页面的请求,那么百度服务器就会返回给我一个响应并展示百度页面,所以 HTTP 协议都是基于请求和响应模式的。

请求消息

首先我们来看下 HTTP 协议请求消息,也就是 http request,指从客户端到服务端的请求消息,包括以下信息:

请求行:包括请求方法(GET、POST 等),请求地址 uri,HTTP 版本等信息

请求头:包括的内容非常多,比如 content-type(客户端传递到服务器端的数据格式),User-Agent(标明客户端的基本信息)等

空一行:是格式要求,表示请求头的结束

请求体:就是请求正文,一般是参数等信息

具体抓包显示如下图:

图片

响应消息

服务器收到客户端的请求后就会给出响应,也就是 http response,同样包括以下四个部分信息:

响应行:包括 http 版本以及响应状态码信息

响应头:同样包括的内容比较多,比如 Content-Type(响应消息的格式),cookie\token 等信息

空一行:标识着响应头的结束

响应正文:从服务响应回来的具体数据,比如 XML、JSON 格式的数据,这个也是做接口测试要重点查看的内容。

图片

通过以上抓包信息我们也可以看出来, http 协议有如下几个特点:

通信使用的明文进行数据传输的,任何一个中间截取者都可以截取数据进行篡改;

请求的客户端和响应的服务器端不会对通信双方进行身份的确认,这样就可能会导致任何人都可以假冒成为通讯方而不被发现;

也没有校验和保护数据的完整性的机制,被篡改的数据没有办法被通讯双方所发现。

但是随着互联网的不断发展,我们越来越多的业务都在网上进行,对于安全性就越来越重视。所以针对 HTTP 协议这些不安全的特点,一个新的协议就应运而生,它就是 HTTPS 协议。

二、HTTPS 协议

HTTPS,全称是 Hyper Text Transfer Protocol Secure(超文本传输安全协议),是以安全为目标的 HTTP 通道,简单讲就是 HTTP 协议的安全版。

那么它是怎么实现安全性的呢?看下图:

图片

从图我们可以清晰的看到,HTTPS 协议就是在 HTTP 协议和 TCP 协议之间加入了 SSL 层,所以它的安全性就是通过 ssl 协议来实现的。所以 HTTPS 协议也经常被叫做:披着 SSL 外壳的 HTTP 协议。

那么这个 SSL 协议能提供哪些安全性呢?给大家列一个公式:HTTP+ 加密 + 认证 + 完整性保护 =HTTPS

SSL 握手过程

具体这些安全性机制如何实现的,我们就需要来看一下 HTTPS 的工作流程。下图是 SSL 建立连接的握手过程:

图片

以上过程我们文字解释一下:

1.客户端通过发送 Client Hello 报文开始 SSL 通信

客户端发起请求,以明文传输请求信息,包含版本信息,加密套件候选列表,压缩算法候选列表,随机数,扩展字段等信息。

相关信息如下:

• 支持的最高 TSL 协议版本 version,从低到高依次 SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2,当前基本不再使用低于 TLSv1 的版本;

• 客户端支持的加密套件 cipher suites 列表, 每个加密套件对应前面 TLS 原理中的四个功能的组合:

认证算法 Au (身份验证)

密钥交换算法 KeyExchange(密钥协商)

对称加密算法 Enc (信息加密)

信息摘要 Mac(完整性校验);

2.服务器可进行 SSL 通信时,会以 Server Hello 报文应答

服务端返回协商的信息结果,包括选择使用的协议版本 version,选择的加密套件 cipher suite,选择的压缩算法 compression method、随机数 random_S 等,其中随机数用于后续的密钥协商;

3.服务器发送 Certificate 证书报文

服务器端配置对应的证书链,用于身份验证与密钥交换; 报文中包含公开密钥证书,客户端可以通过证书验证服务器的身份,这就是防止的第三方假冒身份,保证的通讯双方的身份真实性。

4.服务器发送 Server Hello Done 报文通知客户端

这个报文的发送通知客户端 server_hello 信息发送结束,就标识着最初阶段的 SSL 握手协商部分结束。

5.客户端以 Client Key Exchange 报文作为回应

客户端收到服务器的证书后,会去验证证书的合法性,如果验证通过才会进行后续通信,否则根据错误情况不同做出提示和操作。

证书的合法性验证通过之后,客户端计算产生随机数字 被称为 Pre-master secret 的随机密码串,并用证书公钥加密,发送给服务器; 该报文已用步骤 3 中的公开密钥进行加密。

此时客户端已经获取全部的计算协商密钥需要的信息:两个明文随机数 random_C 和 random_S 与自己计算产生的 Pre-master,计算得到协商密钥。

6.接着客户端继续发送 Change Cipher Spec 报文

客户端通过该报文通知服务器后续的通信都采用协商的通信密钥和加密算法进行加密通信。

7.客户端发送 Finished(encrypted_handshake_message) 报文

结合之前所有通信参数的 hash 值与其它相关信息生成一段数据,采用协商密钥 session secret 与算法进行加密,然后发送给服务器用于数据与握手验证; 该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。

8.服务器同样发送 Change Cipher Spec 报文

服务器用私钥解密加密的 Pre-master 数据,基于之前交换的两个明文随机数 random_C 和 random_S,计算得到协商密钥:enc_key=Fuc(random_C, random_S, Pre-Master);然后计算之前所有接收信息的 hash 值,并解密客户端发送的 encrypted_handshake_message,验证数据和密钥正确性;

验证通过之后,服务器同样发送 change_cipher_spec 以告知客户端后续的通信都采用协商的密钥与算法进行加密通信;

9.服务器同样发送 Finished(encrypted_handshake_message)报文

服务器也结合所有当前的通信参数信息生成一段数据并采用协商密钥 session secret 与算法加密并发送到客户端。

客户端计算所有接收信息的 hash 值,并采用协商密钥解密 encrypted_handshake_message,验证服务器发送的数据和密钥,验证通过则握手完成。

10.开始进行应用层协议的通信,即发送 HTTP 请求。

服务器和客户端的 Finished 报文交换完毕之后,SSL 连接就算建立完成。开始正式发送 HTTP 通信消息,发送的是 http 的请求消息,当然,通信报文都会受到 SSL 的保护。

应用层发送数据时会附加一种叫做 MAC(Message Authentication Code)的报文摘要。MAC 能够查知报文是否遭到篡改,从而保护报文的完整性。

11.应用层协议通信,即发送 HTTP 响应。

12.最后由客户端断开连接。断开连接时,发送 close_notify 报文。
上图做了一些省略,这步之后再发送 TCP FIN 报文来关闭与 TCP 的通信。

通过以上 12 步的解析,我们可以清楚的看到 SSL 是如何给数据提供安全性的:

1)通过证书来验证通信双方的身份吗,保证身份的真实可靠,防止第三方假冒;

2)通过协商出来的秘钥进行通信数据的加密,保证数据不会被被任何数据截取者看到,保证的数据的机密性;

3)通过 MAC 的报文摘要,确保数据没有被篡改,保证了数据的完整性。

三、使用 HTTP 协议还是 HTTPS 协议呢?

讲到这里我们会发现 HTTPS 协议确实比 HTTP 协议要安全很多,但是我们平时生活中还是会看到有些网站用的是 http 协议。既然 HTTPS 那么安全可靠,那为何所有的 Web 网站不一直使用 HTTPS 呢?主要的原因有以下几点:

1、对计算机的资源消耗比较大: 因为与纯文本通信相比,加密通信会消耗更多的 CPU 及内存资源。如果每次通信都加密,会消耗相当多的资源,平摊到一台计算机上时,能够处理的请求数量必定也会随之减少。

2、通信速度会比较慢: 和使用 HTTP 相比,网络负载可能会变慢 2 到 100 倍。除去和 TCP 连接、发送 HTTP 请求,响应以外,还必须进行 SSL 通信,因此整体上处理通信量不可避免会增加;

3.对服务器和客户端的机器性能要求更高: 由于大量消耗 CPU 及内存等资源,导致处理速度变慢。因为 SSL 必须在服务器和客户端都进行加密处理,因此从结果上讲,比起 HTTP 会更多地消耗服务器和客户端的硬件资源,导致负载增强。

4. 购买证书需要额外的开销: 要进行 HTTPS 通信,证书是必不可少的。而使用的证书必须向认证机构(CA)购买。证书价格可能会根据不同的认证机构略有不同。通常,一年的授权需要 600 -1000+ 人民币。那些购买证书并不合算的服务以及一些个人网站,可能只会选择采用 HTTP 的通信方式

四、HTTP 协议和 HTTPS 协议的区别

最后,我们来总结一下 http 协议和 https 协议的区别:

在这里插入图片描述

下面是一份配套资料,对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!
在这里插入图片描述
这些都可以以在公众号:伤心的辣条 ! 免费领取,还有一份216页软件测试工程师面试宝典文档资料。以及相对应的视频学习教程免费分享!,其中资料包括了有基础知识、Linux必备、Shell、互联网程序原理、Mysql数据库、抓包工具专题、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试、安全测试等。

学习不要孤军奋战,最好是能抱团取暖,相互成就一起成长,群众效应的效果是非常强大的,大家一起学习,一起打卡,会更有学习动力,也更能坚持下去。你可以加入我们的测试技术交流扣扣群:914172719(里面有各种软件测试资源和技术讨论)

喜欢软件测试的小伙伴们,如果我的博客对你有帮助、如果你喜欢我的博客内容,请 “点赞” “评论” “收藏” 一键三连哦!


好文推荐

转行面试,跳槽面试,软件测试人员都必须知道的这几种面试技巧!

面试经:一线城市搬砖!又面软件测试岗,5000就知足了…

面试官:工作三年,还来面初级测试?恐怕你的软件测试工程师的头衔要加双引号…

什么样的人适合从事软件测试工作?

那个准点下班的人,比我先升职了…

测试岗反复跳槽,跳着跳着就跳没了…

版权声明
本文为[软件测试君]所创,转载请带上原文链接,感谢
https://blog.csdn.net/ai_green/article/details/121541622

  1. Fonction de flèche JavaScript
  2. JavaScript - déconstruction assignations
  3. Building CentOS 7.6 with Linux
  4. JavaScript - type d'emballage
  5. linux deepin/ubuntu安装flameshot火焰截图
  6. JavaScript - encapsulation et héritage (deux)
  7. JavaScript JS method for writing 99 multiplication table
  8. 從零開始學java - 第二十五天
  9. Apprendre Java à partir de zéro - jour 25
  10. Les voitures d'hiver, les voitures électriques et les voitures à essence ne sont pas les mêmes?
  11. JavaScript - ceci pointe vers le problème
  12. Copie JavaScript
  13. Spring boot quickly integrates swagger
  14. linux deepin/ubuntu安裝flameshot火焰截圖
  15. Capture d'écran de flamme de l'installateur de flamme Linux deepin / Ubuntu
  16. Jquery DOM et jquery, fonctions d'entrée (bases)
  17. Méthode d'instance jquery
  18. Méthode et démonstration de code dans l'interface de liste en Java
  19. 【错误记录】Java 中 ArrayList 排序 ( 使用 Comparator 接口时注意 compare 返回值是 -1 和 +1 )
  20. Démarrage du Zookeeper
  21. Java oom Cognition
  22. Java 开发者最困惑的四件事,值得一看!,BAT面试文档
  23. Java 将两个对象list里面的 某个字段值抽取到一个list里,java选择排序原理
  24. Java 多线程 —— 生产者消费者问题,从基础到深入案例
  25. Java 中设计模式 之 工厂模式,java反射机制的底层原理
  26. 【錯誤記錄】Java 中 ArrayList 排序 ( 使用 Comparator 接口時注意 compare 返回值是 -1 和 +1 )
  27. 【 enregistrement des erreurs 】 tri ArrayList en Java (Notez que les valeurs de retour de comparaison sont - 1 et + 1 lors de l'utilisation de l'interface de comparaison)
  28. Pourquoi Xiaopeng P5 est - il devenu un grand succès dans le cercle? Le Salon de l'automobile de Guangzhou montre encore des compétences polyvalentes
  29. Java 開發者最困惑的四件事,值得一看!,BAT面試文檔
  30. Les quatre choses les plus déroutantes pour les développeurs Java valent la peine d'être regardées! Document d'entrevue sur les MTD
  31. k8s-Pod污点与容忍
  32. k8s-Pod污点与容忍
  33. K8s POD Contamination and Tolerance
  34. K8s POD Contamination and Tolerance
  35. mysql常用语句——GROUP BY和HAVING
  36. Spring boot quickly integrates swagger
  37. mysql常用語句——GROUP BY和HAVING
  38. MySQL Common statements - group by and having
  39. Le défi du pinceau leetcode - Javascript: 110. Arbre binaire équilibré
  40. [notes d'apprentissage de première ligne] day44: XMLHttpRequest
  41. java调用RFC延长调用时间
  42. java調用RFC延長調用時間
  43. Java call RFC prolonge le temps d'appel
  44. Le modèle d'usine du modèle de conception en Java, le principe sous - jacent du mécanisme de réflexion Java
  45. Java Multithreading - producer Consumer issues, From Basic to Deep case
  46. OushuDB 安装与升级之安装 HDFS
  47. OushuDB 安装与升级之安装 Zookeeper
  48. Java-String-对象,你真的了解了吗?,mysql教程入门到精通
  49. Linux引导过程与服务控制
  50. Java-8新特性:学习如何使用Lambda表达式(一,线程池的实现原理
  51. Java 读写锁 ReentrantReadWriteLock 源码分析,headfirstjavapdf百度云
  52. JAVA 获取系统日期时间,初级java开发常见的面试题
  53. MySQL judges the salary changes based on the existing data
  54. k8s-Pod污點與容忍
  55. Java extrait une valeur de champ de deux listes d'objets dans une liste, et Java sélectionne le principe de tri
  56. java中ArrayList应用实例,阿里巴巴java面试流程
  57. Java个人技术知识点总结(框架篇),kafka聊天服务器架构
  58. JavaWeb快速入门--Servlet(2),java程序设计精编教程第三版上机实践
  59. JavaWeb - 文件的上传,核心API的使用,文件下载,附学习笔记 面试整理 进阶书籍
  60. Netty原理:pipeline