揭示：HTTP不支持的协议及其影响

一、引言

在互联网时代，我们每天都在使用各种网络协议来访问网站、传输数据。
其中，HTTPS作为一种广泛应用的加密传输协议，为我们提供了安全、可靠的通信保障。
除了HTTPS之外，还有许多其他网络协议并不支持加密传输，这可能会带来一系列的安全隐患和影响。
本文将揭示这些HTTP不支持的协议及其产生的影响。

二、HTTP与HTTPS概述

1. HTTP：超文本传输协议（Hypertext Transfer Protocol），是一种无状态的、无加密的协议，用于传输网页数据。HTTP协议在网络上传输数据时，数据是明文形式，容易被窃取或篡改。
2. HTTPS：安全超文本传输协议（Hypertext Transfer Protocol Secure），是在HTTP基础上增加了SSL/TLS加密层，确保数据传输过程中的安全性和完整性。HTTPS广泛应用于网银、电商、社交媒体等需要保护用户隐私和数据安全的场景。

三、HTTP不支持的协议及其影响

1. HTTP协议本身不支持加密传输的缺陷

HTTP协议本身是一种无加密的协议，这意味着在HTTP传输过程中，数据是以明文形式进行传输的。
这种明文传输方式容易受到中间人攻击、数据篡改等安全风险。
HTTP也无法保证数据的完整性和真实性，容易遭受重放攻击。

影响：使用HTTP传输的数据容易受到攻击，导致用户隐私泄露、数据被篡改等问题。
特别是在传输敏感信息（如账号密码、个人信息等）时，使用HTTP传输极易造成安全风险。

2. 其他HTTP不支持的协议及其影响

（1）FTP（文件传输协议）：FTP是一种用于文件传输的协议，它基于HTTP之前的TCP协议实现。
FTP在传输数据时并不进行加密，存在安全隐患。

影响：使用FTP传输文件时，文件内容容易被窃取或篡改。
特别是在企业间传输重要文件时，使用FTP可能导致商业机密泄露。

（2）SMTP（简单邮件传输协议）：SMTP是电子邮件的传输协议，它负责将邮件从发送方传送到接收方。
SMTP在传输过程中并不对数据进行加密。

影响：使用SMTP传输邮件时，邮件内容容易被窃取或篡改。
由于SMTP不验证发送方的身份，可能导致邮件被伪造或滥发垃圾邮件。

（3）TELNET（远程登录协议）：TELNET是一种用于远程登录的协议，它允许用户远程访问其他计算机。
TELNET在数据传输过程中并不进行加密。

影响：使用TELNET进行远程登录时，用户密码容易被窃取。
由于TELNET不验证用户身份，可能导致非法用户入侵系统。

四、应对措施与建议

1. 推广HTTPS应用：为了保障数据安全，应尽可能使用HTTPS协议进行数据传输。对于网站运营者而言，应尽快将网站升级为HTTPS。对于个人用户而言，也应优先选择使用HTTPS进行上网。
2. 加密存储敏感数据：对于需要存储的敏感数据（如账号密码、个人信息等），应采用加密存储的方式，防止数据泄露。
3. 使用安全的网络协议：在选择网络协议时，应避免使用HTTP、FTP、SMTP等无加密或加密不足的协议，而应选择更安全、更可靠的协议，如HTTPS、SFTP等。
4. 提高网络安全意识：个人和企业都应提高网络安全意识，了解网络安全风险并采取相应的防护措施。对于企业和组织而言，还应制定并执行严格的网络安全政策和措施。

五、总结

在互联网时代，网络安全问题日益突出。
了解并避免使用HTTP不支持的协议对于保障数据安全至关重要。
通过推广HTTPS应用、加密存储敏感数据、使用安全的网络协议以及提高网络安全意识等措施，我们可以有效防范网络安全风险并保护我们的数据安全。

HTTPS对网站性能SEO有哪些影响

HTTPS网站对网站没有什么影响，如果非要说影响的话，只是HTTPS网站不允许调用HTTP普通协议代码。 SEO方面，是优先收录HTTPS网站的。

http:与https:到底有哪些区别？

HTTPS（Secure Hypertext Transfer Protocol）--安全超文本传输协议 它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。 HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。 （HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。 ）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。 HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。 WWW的核心——HTTP协议众所周知，Internet的基本协议是TCP/IP协议，目前广泛采用的FTP、Archie Gopher等是建立在TCP/IP协议之上的应用层协议，不同的协议对应着不同的应用。 WWW服务器使用的主要协议是HTTP协议，即超文体传输协议。 由于HTTP协议支持的服务不限于WWW，还可以是其它服务，因而HTTP协议允许用户在统一的界面下，采用不同的协议访问不同的服务，如FTP、Archie、SMTP、NNTP等。 另外，HTTP协议还可用于名字服务器和分布式对象管理。 2.1 HTTP协议简介HTTP是一个属于应用层的面向对象的协议，由于其简捷、快速的方式，适用于分布式超媒体信息系统。 它于1990年提出，经过几年的使用与发展，得到不断地完善和扩展。 目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的规范化工作正在进行之中，而且HTTP-NG(Next Generation of HTTP)的建议已经提出。 HTTP协议的主要特点可概括如下：1.支持客户/服务器模式。 2.简单快速：客户向服务器请求服务时，只需传送请求方法和路径。 请求方法常用的有GET、HEAD、POST。 每种方法规定了客户与服务器联系的类型不同。 由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。 3.灵活：HTTP允许传输任意类型的数据对象。 正在传输的类型由Content-Type加以标记。 4.无连接：无连接的含义是限制每次连接只处理一个请求。 服务器处理完客户的请求，并收到客户的应答后，即断开连接。 采用这种方式可以节省传输时间。 5.无状态：HTTP协议是无状态协议。 无状态是指协议对于事务处理没有记忆能力。 缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。 另一方面，在服务器不需要先前信息时它的应答就较快。 2.2 HTTP协议的几个重要概念1.连接(Connection)：一个传输层的实际环流，它是建立在两个相互通讯的应用程序之间。 2.消息(Message)：HTTP通讯的基本单位，包括一个结构化的八元组序列并通过连接传输。 3.请求(Request)：一个从客户端到服务器的请求信息包括应用于资源的方法、资源的标识符和协议的版本号4.响应(Response)：一个从服务器返回的信息包括HTTP协议的版本号、请求的状态(例如“成功”或“没找到”)和文档的MIME类型。 5.资源(Resource)：由URI标识的网络数据对象或服务。 6.实体(Entity)：数据资源或来自服务资源的回映的一种特殊表示方法，它可能被包围在一个请求或响应信息中。 一个实体包括实体头信息和实体的本身内容。 7.客户机(Client)：一个为发送请求目的而建立连接的应用程序。 8.用户代理(User agent)：初始化一个请求的客户机。 它们是浏览器、编辑器或其它用户工具。 9.服务器(Server)：一个接受连接并对请求返回信息的应用程序。 10.源服务器(Origin server)：是一个给定资源可以在其上驻留或被创建的服务器。 11.代理(Proxy)：一个中间程序，它可以充当一个服务器，也可以充当一个客户机，为其它客户机建立请求。 请求是通过可能的翻译在内部或经过传递到其它的服务器中。 一个代理在发送请求信息之前，必须解释并且如果可能重写它。 代理经常作为通过防火墙的客户机端的门户，代理还可以作为一个帮助应用来通过协议处理没有被用户代理完成的请求。 12.网关(Gateway)：一个作为其它服务器中间媒介的服务器。 与代理不同的是，网关接受请求就好象对被请求的资源来说它就是源服务器；发出请求的客户机并没有意识到它在同网关打交道。 网关经常作为通过防火墙的服务器端的门户，网关还可以作为一个协议翻译器以便存取那些存储在非HTTP系统中的资源。 13.通道(Tunnel)：是作为两个连接中继的中介程序。 一旦激活，通道便被认为不属于HTTP通讯，尽管通道可能是被一个HTTP请求初始化的。 当被中继的连接两端关闭时，通道便消失。 当一个门户(Portal)必须存在或中介(Intermediary)不能解释中继的通讯时通道被经常使用。 14.缓存(Cache)：反应信息的局域存储。 2.3 HTTP协议的运作方式HTTP协议是基于请求／响应范式的。 一个客户机与服务器建立连接后，发送一个请求给服务器，请求方式的格式为，统一资源标识符、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。 服务器接到请求后，给予相应的响应信息，其格式为一个状态行包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。 许多HTTP通讯是由一个用户代理初始化的并且包括一个申请在源服务器上资源的请求。 最简单的情况可能是在用户代理(UA)和源服务器(O)之间通过一个单独的连接来完成(见图2-1)。 图2-1当一个或多个中介出现在请求／响应链中时，情况就变得复杂一些。 中介由三种：代理(Proxy)、网关(Gateway)和通道(Tunnel)。 一个代理根据URI的绝对格式来接受请求，重写全部或部分消息，通过URI的标识把已格式化过的请求发送到服务器。 网关是一个接收代理，作为一些其它服务器的上层，并且如果必须的话，可以把请求翻译给下层的服务器协议。 一个通道作为不改变消息的两个连接之间的中继点。 当通讯需要通过一个中介(例如：防火墙等)或者是中介不能识别消息的内容时，通道经常被使用。 图2-2上面的图2-2表明了在用户代理(UA)和源服务器(O)之间有三个中介(A,B和C)。 一个通过整个链的请求或响应消息必须经过四个连接段。 这个区别是重要的，因为一些HTTP通讯选择可能应用于最近的连接、没有通道的邻居，应用于链的终点或应用于沿链的所有连接。 尽管图2-2是线性的，每个参与者都可能从事多重的、并发的通讯。 例如，B可能从许多客户机接收请求而不通过A，并且／或者不通过C把请求送到A，在同时它还可能处理A的请求。 任何针对不作为通道的汇聚可能为处理请求启用一个内部缓存。 缓存的效果是请求／响应链被缩短，条件是沿链的参与者之一具有一个缓存的响应作用于那个请求。 下图说明结果链，其条件是针对一个未被UA或A加缓存的请求，B有一个经过C来自O的一个前期响应的缓存拷贝。 图2-3在Internet上，HTTP通讯通常发生在TCP/IP连接之上。 缺省端口是TCP 80，但其它的端口也是可用的。 但这并不预示着HTTP协议在Internet或其它网络的其它协议之上才能完成。 HTTP只预示着一个可靠的传输。 以上简要介绍了HTTP协议的宏观运作方式，下面介绍一下HTTP协议的内部操作过程。 首先，简单介绍基于HTTP协议的客户/服务器模式的信息交换过程，如图2-4所示，它分四个过程，建立连接、发送请求信息、发送响应信息、关闭连接。 图2-4在WWW中，“客户”与“服务器”是一个相对的概念，只存在于一个特定的连接期间，即在某个连接中的客户在另一个连接中可能作为服务器。 WWW服务器运行时，一直在TCP80端口(WWW的缺省端口)监听，等待连接的出现。 下面，讨论HTTP协议下客户/服务器模式中信息交换的实现。 1.建立连接 连接的建立是通过申请套接字(Socket)实现的。 客户打开一个套接字并把它约束在一个端口上，如果成功，就相当于建立了一个虚拟文件。 以后就可以在该虚拟文件上写数据并通过网络向外传送。 2.发送请求打开一个连接后，客户机把请求消息送到服务器的停留端口上，完成提出请求动作。 HTTP/1.0请求消息的格式为：请求消息=请求行(通用信息|请求头|实体头) CRLF[实体内容]请求 行=方法 请求URL HTTP版本号 CRLF方法=GET|HEAD|POST|扩展方法U RL=协议名称+宿主名+目录与文件名请求行中的方法描述指定资源中应该执行的动作，常用的方法有GET、HEAD和POST。 不同的请求对象对应GET的结果是不同的，对应关系如下：对象GET的结果文件文件的内容程序该程序的执行结果数据库查询 查询结果HEAD——要求服务器查找某对象的元信息，而不是对象本身。 POST——从客户机向服务器传送数据，在要求服务器和CGI做进一步处理时会用到POST方法。 POST主要用于发送HTML文本中FORM的内容，让CGI程序处理。 一个请求的例子为：GETHTTP/1.0头信息又称为元信息，即信息的信息，利用元信息可以实现有条件的请求或应答 。 请求头——告诉服务器怎样解释本次请求，主要包括用户可以接受的数据类型、压缩方法和语言等。 实体头——实体信息类型、长度、压缩方法、最后一次修改时间、数据有效期等。 实体——请求或应答对象本身。 3.发送响应服务器在处理完客户的请求之后，要向客户机发送响应消息。 HTTP/1.0的响应消息格式如下：响应消息=状态行(通用信息头|响应头|实体头) CRLF 〔实体内容〕状 态 行=HTTP版本号 状态码 原因叙述状态码表示响应类型1××保留2××表示请求成功地接收3××为完成请求客户需进一步细化请求4××客户错误5××服务器错误 响应头的信息包括：服务程序名，通知客户请求的URL需要认证，请求的资源何时能使用。 4.关闭连接客户和服务器双方都可以通过关闭套接字来结束TCP/IP对话

电脑浏览器经常出现该站点安全证书的吊销信息不可用等安全警报，为什么？怎么办？

我们在浏览网页时，浏览器与网站服务器之间一般是通过应用层的HTTP协议（Hyper Text Transfer Protocol，超文本传送协议[[i]]）和HTTPS协议（HypertextTransfer Protocol over Secure Socket Layer，安全套接字层上的超文本传送协议[[ii]]）来传输数据的。 在HTTP协议中，所有的数据都是明文公开传输，如果攻击者在网络上截获了传输的数据，就可以恢复出真实的数据内容。 所以HTTP协议适用于数据不敏感、不需要加密保护的网站应用，例如，网络搜索的网址是，其中的http就代表访问网站的应用层协议为HTTP。 网络搜索的结果是对公众开放的，即使有攻击者截获了用户的搜索结果，也不会对用户带来损失。 HTTPS协议可以简单地理解为安全的HTTP协议，具有身份认证和加密传输的特性。 支持HTTPS协议的网站服务器需要有公钥证书[[iii]]，该证书表明了网站服务器的身份，也包含了网站服务器的公开密钥。 浏览器在访问该网站时，首先验证该网站服务器的身份，即通过用户主机上受信任的证书颁发机构[[iv]]列表（通常是预先安装在主机上的，也可以在后续过程中添加和删除），验证网站服务器的证书是否在有效期内，是否是由受信任的证书颁发机构所颁发等等。 如果验证通过(通常浏览器会在地址栏旁边用锁形图标提示，点击后会进一步提示网站服务器证书信息，如图 1所示为IE浏览器中某HTTPS服务器验证通过)，则浏览器与网站服务器通过服务器证书中的公钥协商出一个会话密钥，后续通信中所传输的数据都通过这个会话密钥进行加密，即使攻击者截获了通信数据，也无法将加密的内容进行恢复，这样用户的数据就得到了很好的保护；如果验证不通过，则浏览器会向用户发出安全警报（通常在地址栏旁边用一个带红叉的图标提示，点击后会进一步提示具体错误信息，如图 2所示为IE浏览器中某HTTPS服务器验证不通过）。 HTTPS协议适用于数据敏感、需要加密保护的网站应用（例如，电子交易、安全电子邮件）。 以支付宝网站为例，其网址为，https表明其采用HTTPS协议进行数据传输，即使攻击者截获用户在支付宝网站上的数据，也很难对其进行解密恢复和篡改，从而保证了用户数据的安全性。 图 1浏览器验证网站证书成功示意图图 2浏览器提示网站证书错误示意图相比于HTTP协议，HTTPS协议增强了网络应用中数据传输的安全性。 但也存在如下问题：1.网站服务器和浏览器需要对应用数据进行加解密操作，增加了其运算负荷，对传输性能有一定影响；2.网站服务器的公钥证书通常需要向权威的证书颁发机构（例如VeriSign[[v]]）申请，同时证书也有使用期限，这就给网站运营增加了一定的成本。 对于某些小成本运营或者内部使用的HTTPS网站服务器，它们可能会使用一些小公司颁发的或者自己制作的公钥证书。 尽管这些证书可以用于加密数据，但通常不能通过用户浏览器的身份验证。 我们在日常浏览网站时看到该站点安全证书的吊销信息不可用等安全警报时，说明所浏览的网站是通过HTTPS协议进行数据传输的，但是由于该网站服务器的公钥证书不能通过安全验证（可能是证书过期，或者是证书的颁发者不在用户主机上受信任的颁发机构列表中等原因）。 在这种情况下，网站服务器与用户浏览器之间的数据传输安全无法得到保证，存在被攻击者窃听或者篡改的可能，所以如果用户在进行电子交易、查看重要资料等操作，那么建议用户中止对该网站的访问（这也是浏览器给出的建议，如图 3所示）；如果用户继续浏览，则可能造成用户财产或者其它重要信息的损失。 图 3浏览器对网站证书验证失败的提示和建议当然也有一些例外，如果用户对所浏览网站有一定的认识，认为继续访问并不会带来个人重要数据的泄露，或者确信即使数据泄露也不会带来损失或完全可以承受可能的损失，那么用户可以选择继续访问网站。 例如，单位内部的邮件服务器为了保护用户隐私，采用HTTPS方式访问，但是为了节约成本，邮件服务器采用自己制作的公钥证书，所以浏览器提示证书验证不通过，但内部用户知道：安全警报是因为邮件服务器的公钥证书不在用户浏览器的受信任证书颁发机构列表中，浏览器与邮件服务器之间数据传输的安全性仍然可以得到保证，那么用户可以忽略浏览器的安全警报，继续使用邮件服务。 总的来说，如果用户浏览网页时出现该站点安全证书的吊销信息不可用等安全警报时，除非用户能够确认该安全问题不会给自己造成损失或者损失可以承受，否则应中止对该网站的浏览，从而最大程度地保护个人的财产和其它重要信息。 [i]网络百科超文本传送协议.网络百科 https.网络百科公钥证书.证书和证书颁发机构.