TCP/IP Protocol Suite

Application Layer Protocols

超文本傳輸協定 (Hypertext Transfer Protocol, HTTP)
HTTP 是全球資訊網通訊的基礎。HTTP 是 TCP/IP 最上層的標準應用協定，負責處理網路瀏覽器的請求 requests 和網路伺服器的回應 responses，也就是用來傳輸客戶端和伺服器之間的資料，如：聲音、影片、圖片、超文本 (hypertext)和純文字。HTTP 使用連接導向的、可靠的 TCP 協定。

HTTP 訊息 (messages) 在客戶端和伺服器通訊時交換。客戶端對伺服器傳送 HTTP 請求訊息，伺服器以 HTTP 回應訊息回應。HTTP 訊息是簡單的、字行導向的系列文字，包含 3 部分：起始行、標體欄和本文(body)。

source: HTTP: The Definitive Guide by David Gourley, Brian Totty, Marjorie Sayer, Anshu Aggarwal...

HTTP 的缺點：
-易受 man-in-the-meddle 的攻擊。
-缺乏安全性，經由 HTTP 傳送的資料沒有加密。
-HTTP 可以在沒有加密或數位憑證下被使用。

安全的 HTTP (Secure HTTP, S-HTTP)
是應用程式層的協定，用來加密經由 HTTP 傳輸的網路通訊。相對於 SSL(Secure Socket Layer) 在兩個個體之間建立安全的鏈接確保整個通訊的安全的方式，S-HTTP 確保個別訊息資料傳輸的安全。這這個協定主要用在伺服器要求來自使用者的驗證 (authentication)。並不是所有的瀏覽器和伺服器都支援 S-HTTP。

source:Ethical Hacking and Countermeasures by EC-Council P.3604

Hyper Text Transfer Protocol Secure (HTTPS)
HTTPS 為確保 HTTP 上兩台電腦安全的通訊，使用傳輸層安全性協定 (Transport Layer Security, TLS) 或安全通訊協定 (Secure Sockets Layer, SSL) 來加密兩端通訊的資料。HTTP 通常使用在信任的線上交易。
在 HTTP 下，資料經加密管道傳送，可以防護 main-in-the-middle 攻擊，但易受 DROWN(Decrypting RSA with Obsolete and Weakened eNcryption) 攻擊。

source:Ethical Hacking and Countermeasures by EC-Council P.3604