為什麼知乎還不提供安全鏈接(即HTTPS安全協議)進行用戶登錄和瀏覽?

看到有關於其伺服器負荷的有關問題,我想問為什麼我們需要安全協議下的瀏覽?是不是真的沒有必要,或者說入不敷出。因為國外許多社交網站都支持,卻發現國內並非如此。

可以的話,請從以下幾個角度分析:
1. 用戶提交信息的安全性,包括用戶名,密碼,郵箱等。
2. 用戶瀏覽的歷史內容及隱私保護,例如我瀏覽某網站頁面,很可能是非公開的(登錄後的看到的),卻不希望別人能輕易的瀏覽。這樣的需求大嗎?


用戶登錄應該得https吧,不然萬一哪天被劫持了那麼用戶名密碼就泄露了,然後你有沒有其他網站使用和知乎相同的用戶名密碼?

普通瀏覽過程沒有太大必要加密,因為最多也就是劫持後冒充你的身份發言,或者往頁面加塞點廣告什麼的。本來所有的信息就是公開的。

買證書是要錢的。而且聽說有些託管伺服器提供商都不讓你獨佔80/443埠(比如要和別的網站分享一個VIP),這樣就沒法單獨配證書。

以後如果開始有人打知乎的主意了,那就會上https了,比如百度也才是最近才上https的。


伺服器天天提問題,上https連cpu都要提問題了


必須有必要用HTTPS:

1、不用HTTPS就沒法用HTTP/2。HTTP/2比HTTP/1.1快。快到可以抵消掉TLS加密導致的性能上的開銷。也就是說對於用戶來說TLS+HTTP/2比明文HTTP/1.1快。網速越慢、延時越大,HTTP/2的優勢越明顯。

2、隱私的話就不說什麼了吧。不用HTTPS中間人攻擊者就可以獲得你的cookie並登錄你的賬號,能看你的私信、郵箱地址。當然有人不在乎別人可能看到自己的私信,但這不代表所有人都不在乎。

We now believe we can deploy HTTPS at a cost that, whilst significant, is well justified by the privacy returns for our users. --Mark Watson

https://lists.w3.org/Archives/Public/www-tag/2015Apr/0027.html

3、知乎已經買了SSL證書,GeoTrust的。為什麼登錄都不用?要是不用,買它幹嘛?

4、Mozilla計劃:哪個網站不用HTTPS,哪個就別用新支持的CSS、JavaScript功能。

This plan would entail limiting new features to secure contexts, followed by gradually removing legacy features from insecure contexts. --Richard Barnes https://groups.google.com/forum/#!topic/mozilla.dev.platform/xaGffxAM-hs%5B1-25%5D


這樣體現不出網銀和淘寶的安全性


1.要花錢
2.犧牲系能
3.沒有必要。。


因為我沒給知乎交過錢,知乎沒錢買安全證書。


百度: 抱歉因為貴站是HTTPS無法支持無法收錄,以加入黑名單。


推薦閱讀:

單方面公開私信或聊天記錄是否侵犯被公布者的隱私權?
在什麼樣的網站上你會心甘情願留下電話和姓名?
如何看待文章《一位92年女生致周鴻禕:別再盯著我們看了》?
真的能通過搜索引擎操縱選舉嗎?
如果在知乎匿名發了一張同學的丑照。那個同學是否有方法找出是誰發這張照的?

TAG:網路安全 | 隱私 | HTTPS | 隱私保護 |