阻止HTTP下载,但不是HTTPS

是否有任何安全的原因,为什么networkingpipe理员将通过HTTP阻止下载,但允许他们通过HTTPS?

如果我们谈论没有任何身份validation的静态文件下载,确保数据完整性的能力是一个原因。 但是,encryption连接只是一个工具,因为您也可以使用校验和来确保数据在传输过程中未被修改。

但是,阻止来自任何地方的所有HTTP下载将导致比解决更多的问题,因为一些内容仅在HTTP上可用。 从相反的angular度来看,仅通过HTTPS提供下载以保证数据完整性是完全正确的,并且还有助于保护谁下载了什么信息。

另一方面,从networkingpipe理的angular度来看,HTTP下载有一个好处:在防火墙/ UTM中,甚至在到达客户端计算机之前,您可以对该文件运行病毒(和其他内容)检查。 使用HTTPS,您需要首先解密TLS; 这在技术上是一个中间人攻击,而它有一个合法的目的。

我想是的,有一些原因为什么通过http下载可能是危险的。

  • 没有HTTPS,你可能会遭受中间人攻击。
    • 例如有人试图从受信任的页面下载软件,但是他却得到一个带有病毒的文件
  • 没有HTTPS,你可以在你的HTTPstream量中看到完整的请求URI,用HTTPS你只能看到主机
  • 如果您使用http-login从页面下载,则当您不使用https时,有人可以“看到”您的login数据

我认为,因为HTTPS是一个encryption信息,并保护您的下载内容,防止窃听和篡改