第七章 确保web安全的https

1.http的缺点：

（1）通信使用明文，内容可能会被窃听

（2）不验证通信方的身份，因此有可能遭遇伪装

（3）无法证明报文的完整性，因此有可能已遭篡改。

2.通信的加密

（1）http没有加密机制，但可以通过和SSL或TLS的组合使用，加密http的通信内容，与SSL组合的http被称为https

（2）内容的加密，就是将需要传输的内容进行加密，不过这种还是有可能被篡改内容。

3.不验证通信方可能遭遇伪装

SSL不仅提供了加密处理，而且还使用了一种被称为证书的手段，可用于确定方。

3.无法证明报文的完整性、可能已遭篡改

4.一般的网站使用http就够了，不过涉及安全比较高的网站还是需要https，http相对于https的优点就是传输速度更快，

对硬件资源消耗更小，不需要购买安全证书等。

第八章 确认访问用户身份的认证

1.密码、动态令牌、数字证书、生物证书、IC卡等。

2.一般是基于表单的认证。