如果您的后端应用程序使用 HTTP，会存在哪些安全问题？

Question

实际上，那里可能没有太多的安全问题。使用 HTTPS 运行网站本身不会对网站的安全性产生任何影响，它为从用户到目标服务器的连接提供了安全性。

HTTPS 的 TLS/SSL 部分（或使用它的任何其他协议）本质上提供了两件事。1）客户端和服务器之间的安全隧道，以便两者之间的任何通信都不会在途中被拦截，例如在使用公共 wifi 时。2）连接到www.foo.com确实如此www.foo.com，并且有人未能将您的请求重定向至恶意服务器。

从这个角度来看，当您谈论的是本地内部网络时，尤其是当您使用有线网络时，风险就在于有权访问您网络的人是否会设置某种程序来窥探您到 Web 服务器的网络流量，或者毒害本地 DNS 以将服务器发送给其他人。这两种情况都不是不可能发生的，但是，如果有人以某种方式侵入了您的网络（无论是物理侵入还是通过受感染的设备），以至于他们可以做这两件事，那么您要担心的问题就比侵入 Web 服务器的流量要大得多。

然而，虽然没有太多的安全问题，但根据后端应用程序的访问方式和访问者，它可能是一个可用性问题。如果您尝试连接到未采用 HTTPS 安全保护的网站，大多数浏览器都会向您发出警告，有些浏览器根本不允许您连接或让您难以操作。如果只是某种管理 UI，那还好，但如果非技术人员广泛使用它，那就更成问题了。

Answer 1

实际上，那里可能没有太多的安全问题。使用 HTTPS 运行网站本身不会对网站的安全性产生任何影响，它为从用户到目标服务器的连接提供了安全性。

HTTPS 的 TLS/SSL 部分（或使用它的任何其他协议）本质上提供了两件事。1）客户端和服务器之间的安全隧道，以便两者之间的任何通信都不会在途中被拦截，例如在使用公共 wifi 时。2）连接到www.foo.com确实如此www.foo.com，并且有人未能将您的请求重定向至恶意服务器。

从这个角度来看，当您谈论的是本地内部网络时，尤其是当您使用有线网络时，风险就在于有权访问您网络的人是否会设置某种程序来窥探您到 Web 服务器的网络流量，或者毒害本地 DNS 以将服务器发送给其他人。这两种情况都不是不可能发生的，但是，如果有人以某种方式侵入了您的网络（无论是物理侵入还是通过受感染的设备），以至于他们可以做这两件事，那么您要担心的问题就比侵入 Web 服务器的流量要大得多。

然而，虽然没有太多的安全问题，但根据后端应用程序的访问方式和访问者，它可能是一个可用性问题。如果您尝试连接到未采用 HTTPS 安全保护的网站，大多数浏览器都会向您发出警告，有些浏览器根本不允许您连接或让您难以操作。如果只是某种管理 UI，那还好，但如果非技术人员广泛使用它，那就更成问题了。

如果您的后端应用程序使用 HTTP，会存在哪些安全问题？

答案1

相关内容