http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html参考文档
不使用SSL和TSL协议的HTTP通信是不安全的通信
主要原因有三点:1、第三方可以截取到通信内容,2、第三方可以修改通信内容(这个比较吊啊),3、第三方可以冒充他人身份进行通信(这个黑客必备啊)
也就是所谓的:窃听风险(eavesdropping)、篡改风险(tampering)和冒充风险(pretending)
SSL和TSL便是为了这三大风险设计的(最近爆出的openSSL漏洞似乎就是这个,导致用户密码大量被盗,关于这个漏洞黑客可以从用户电脑的内存中读取64k数据,需要很大的随机性才能够得到用户的帐号和密码)
设计原则:1、所有通信都进行加密,2、具有校验机制,一旦篡改立即被通讯双方发现,3、配备身份证书,防止身份被冒充
。。。。。。待续。。。。。。。。