Http 와 Https 의 차이

1. Http (Hyper Text Transfer Protocol)

---

• 서버 / 클라이언트 모델을 따라 데이터를 주고 받기 위한 프로토콜
• http 는 인터넷(WWW) 에서 하이퍼텍스트를 교환하기 위한 통신 규약으로 80번 포트를 사용하고 있다.
• http는 애플리케이션 레벨의 프로토콜로 TCP/IP 위에서 작동한다.
• http는 상태를 가지고 있지 않는 Stateless 프로토콜이다.
  • Stateless 란 서버가 클라이언트의 상태를 저장하지 않는 것을 말한다. 예를 들어, 매번 페이지를 이동할 때마다 로그인을 다시하는 경우가 발생

• Http는 암호화가 되지 않은 평문 데이터를 전송하는 프로토콜이기 때문에, 비밀번호나 주민등록번호 등 주요 정보를 주고 받을 시 보안이 좋지 않다.

 

 

 

(1) 구조

• Method (GET, POST, PUT, DELETE) , Path, Version of the protocol, Headers 로 구성되어 있다.

 

 

 

---

 

 

 

 

2. Https (Hyper Text Transfer Protocol Secure)

---

• HTTP에 데이터 암호화가 추가된 프로토콜이다.
• 443 포트를 사용하며, 네트워크 상에서 중간에 제 3자가 정보를 볼 수 없도록 암호화를 지원하고 있다.
• Https는 암호화/복호화 과정이 필요하기 때문에 Http보다 속도가 느리고, 인증서를 발급하고 유지하기 위한 추가 비용이 발생한다.

 

 

 

(1) 암호화

1. 대칭키 암호화

• 클라이언트와 서버가 동일한 키를 사용해 암호화 / 복호화를 진행한다.
• 키가 노출되면 매우 위험하지만 연산 속도가 빠르다

 

 

 

2. 비대칭키 암호화

• 공개키과 개인키를 암호화/복호화 하는데 사용한다.
• 공개키와 개인키는 1쌍의 키이다.
• 공개키는 모두에게 공개된 키 이고, 개인키는 본인만 알고 있는 키 이다.

 

 

 

 

 

---

 

 

 

 

 

3. Http 1.1 Keep Alive

---

• http 는 Server / Client 모델로 request / response 를 사용한다.
• Client 에서 요청 (Request)를 보내면, Server 에서 응답(Response) 한다.
• Http는 connectionless 한 프로토콜이므로 request와 response는 1회성이다. 따라서, 매번 매 요청마다 3-way handshake & 4-way handshake가 발생한다.
• keepalive 기능을 통해, 서버에서 설정된 keepalive timeout 까지는 연결과정없이 송수신이 가능하다. 즉, keepalive timeout 시간동안 4-way handshake 과정을 수행하지 않는다.

 

 

 

 

---

 

 

 

 

4. 쿠키 & 세션

---

• HTTP 프로토콜은 connectionless, stateless 한 특성을 가지고 있기 때문에, 상태 정보 유지를 위해 쿠키와 세션을 사용한다.
• 가장 큰 차이점은 상태 정보의 저장 위치이다.
• 쿠키는 '클라이언트(=로컬 PC)' 에 저장하여 서버의 자원을 전혀 사용하지 않으며, 세션은 '서버'에 저장되고 서버의 자원을 사용한다.
• 쿠키는 클라이언트 로컬에 저장되기 때문에 변질되거나 request에서 스니핑 당할 우려가 있어 보안에 취약하지만, 세션은 쿠키를 이용해서 session-id만 저장하고 그것으로 구분하여 서버에서 처리하기 때문에 비교적 보안성이 높다.

 

 

(1) 쿠키 (Cookie)

• HTTP의 일종으로 사용자가 어떠한 웹 사이트를 방문한 경우, 그 사이트가 사용하고 있는 서버에서 사용자의 컴퓨터에 저장하는 작은 기록 정보 파일이다.
• HTTP에서 클라이언트의 상태 정보를 클라이언트의 PC에 저장했다가 필요 시 정보를 잠조하거나 재사용할 수 있다.
• 특징
  • 이름, 값, 만료일(저장기간), 경로 정보로 구성
  • 클라이언트에 총 300개의 쿠키를 저장할 수 있다.
  • 하나의 도메인 당 20개의 쿠키를 가질 수 있다.
  • 하나의 쿠키는 4KB까지 저장 가능
• 예시
  • 방문 사이트에서 로그인 시, "아이디와 비밀번호를 저장하시겠습니까?"
  • 팝업창에 "오늘 이 창을 다시 보지 않기" 체크

 

 

 

(2) 세션 (Session)

• 일정 시간 동안 같은 사용자(브라우저)로부터 들어오는 일련의 요구를 하나의 상태로 보고, 그 상태를 유지시키는 기술
• 여기서 일정 시간은 방문자가 웹 브라우저를 통해 웹 서버에 접속한 시점부터 웹 브라우저를 종료하여 연결을 끝내는 시점
• 즉, 방문자가 웹 서버에 접속해 있는 상태를 하나의 단위로 보고 그것을 세션이라고 한다.
• 특징
  • 웹 서버에 웹 컨테이너의 상태를 유지하기 위한 정보를 저장한다
  • 브라우저를 닫거나, 서버에서 세션을 삭제했을 때만 삭제가 되므로, 쿠키보다 비교적 보안이 좋다.
  • 저장 데이터에 제한이 없다. (서버 용량이 허용하는 한에서)
  • 각 클라이언트에 고유 Session ID를 부여한다.
• 예시
  • 화면을 이동해도 로그인이 풀리지 않고 로그아웃 하기 전까지 유지