全面普及 HTTPS 有意義嗎?

我看到很多並沒有隱私內容或者秘密信息交互類的網站也使用了https,比如說World Wide Web Consortium (W3C)等,這類網站基本上都是純靜態內容,並且幾乎沒有什麼需要提交私密信息的表單,感覺完全沒有使用https的必要啊。
而且https又要買證書,瀏覽器在訪問的時候還有各種ssl認證流程,不僅僅影響網速,也浪費伺服器資源啊。
提問的原因是看到現在越來越多的網站不根據自己的需求和內容就全上https,感覺有點浪費。


怎麼沒有必要了?
惡意攻擊者最喜歡你這種思路了,認為某件必要的安全可以沒必要,然後就撿漏子唄。
不用HTTPS,意味著攻擊者可以隨意篡改網頁內容。靜態網站也不礙著我放兩個廣告上去啊。或者貼個捐款聲明也不錯。還可以放一點兒惡意代碼下個木馬什麼的嘛。


的記得小時候,敞篷卡車從果園拉著一車車的蘋果,運到碼頭上,然後再裝載到萬噸貨輪上運往上海。但運往碼頭的最後一公里,道路坑坑窪窪,卡車會放慢速度,這時就會有一些青少年爬上貨車,從袋子里拿蘋果吃,每次都會有一袋或幾袋被開包,為此運輸公司非常苦惱。

後來為了減少損失,運輸公司使用了封閉的集裝箱,裝載好蘋果再將車廂鎖起來,到達目的地再打開,這樣即使有人想從車廂里拿蘋果,也無從下手。

以上敞篷卡車所對應的就是TCP,蘋果對應的是HTTP,由於敞篷卡車無法保證在傳輸路途上,蘋果是否被竊取、調包、所以最終有多少貨物到達目的地,那完全要看壞小子的心情,如果壞小子只是插入一些廣告,用戶的瀏覽器最多彈出一些廣告頁面。

更甚一步,竊取用戶cookie,登錄用戶賬戶做非法的勾當。還可以通過明文http植入木馬,可以遠程控制用戶電腦,竊取用戶敏感信息。

集裝箱代表TCP + TLS(Transport Layer Security),從果園運輸的十噸蘋果能夠原封不動地到達目的地,既不會多也不會少。

明文HTTP讓壞人有機可乘
為了實現網路的高度安全,需要很多環節協同工作,只要有一個環節有漏洞,就有可能被利用,而為了提高網路的相對安全性,最高優先順序就應該從HTTP下手,因為這個用戶使用的最頻繁。

目前幾乎所有的個人電腦都處於路由器NAT保護之下,如果用戶不主動訪問Internet,別人無從對NAT後個人電腦下手。

一旦用戶主動訪問Internet,就相當於在NAT城門上啄了一個小洞,這個小洞就是一個NAT映射表,如果沒有流量刷新,300秒之後小洞就會關閉。
小洞存活的300秒以內,允許外部主機來訪問個人電腦,而明文的HTTP就是最好的載體。一旦個人電腦被植入了木馬,木馬程序就會主動周期性發消息給Internet的控制終端,這樣NAT小洞會一直敞開大門(周期性消息刷新定時器),給遠程控制提供了便利。

HTTPS提供了端到端的安全加密
不僅提供數據機密性(加密),還提供數據完整性(不篡改數據)保護防重放(把捕獲的報文再發一次無效),這樣壞小子就很難下手,沒有session key 很難去偷窺並篡改用戶的數據,更無法依賴HTTPS這個載體植入木馬。

一定有同學會有疑問,為何明文傳輸的HTTP可以被劫持,篡改網頁內容,而加密傳輸的HTTPS卻不可以?

那是因為HTTP被劫持篡改頁面,重新計算TCP checksum,用戶電腦是無法判別是否被篡改,只好被動接收。

而加密傳輸之後,有了HMAC保護,任何篡改頁面的嘗試,由於沒有session key,無法計算出和篡改網頁一致的HMAC,所以數據接收端的SSL/TLS會輕易地識別出網頁已被篡改,然後丟棄,既然無法劫持,也就沒有篡改的衝動了,所以HTTPS可以很好地對付網頁劫持。

HTTPS並不是100%絕對可靠
斯諾登暴露出,針對IPsec,TLS的密鑰交換所依賴的Diffie-Hellman演算法攻擊,即通過離線的超級計算機預先計算出海量的公鑰、私鑰對,一旦嘗試出私鑰就會得到Master Key,進而推導出session key,這樣歷史數據、現在、將來的數據全可以解密。

以上是被動攻擊方式,針對數字證書欺騙則屬於主動攻擊,可以實時地解密用戶數據。但種種主、被動攻擊難度都很高,往往是以國家意志為源動力,而不是一些小團體所能完成的。

有讀者肯定會心生疑惑,既然HTTPS不是絕對可靠,那依靠HTTPS工作的網銀安全嗎?安全,請放心使用,因為銀行這個場子是國家開的,自然不會自己砸自己的場子。

電腦網銀用戶一般都有一個USB Token,裡面有用戶數字證書私鑰(Private Key),網銀轉賬一定要有用戶數字證書私鑰簽名的轉賬確認,而這個私鑰只有用戶的Token唯一擁有,而銀行擁有用戶數字證書公鑰(Public Key),可以成功解密出用戶私鑰(Private Key)簽名的轉賬確認,以此確信轉賬指令是由擁有USB Token的用戶發出來的,這樣會進一步提高網銀的安全性。

手機銀行一般都是APP,可以強制使用(Public Key Pinning )特定根證書作為證書信任鏈的頂端,可以避免客戶端使用誤安裝的偽造證書,所以APP不會與假的伺服器建立TLS連接,只會與真正的伺服器建立安全隧道,一旦隧道成功建立,通信就是安全的,即使轉賬也是安全的。當然如果轉賬之前通過手機短消息確認,那安全性基本上就無懈可擊了。


全面普及 HTTPS 是一件非常有意義而且非常重要的事情

首先這裡要指出樓主對於 HTTPS 協議和 SSL 技術在使用上的誤區——只有在提交表單或者發送數據的時候才需要使用 SSL。
是的,出於對用戶發送內容的保護,還有伺服器端接受內容的驗證考慮,甚至有時候還會考慮到伺服器介面參數安全性,在伺服器通訊介面上使用 HTTPS 是很重要的。
但實際上,HTTPS 這項技術並不是只為了解決這個問題而發明的。

The main motivation for HTTPS is authentication of the visited website and protection of the privacy and integrity of the exchanged data.[1]

HTTPS 技術誕生的第一原因是為了幫助客戶端驗證網站真實性,第二原因才是為了保證用戶隱私和提交的數據真實性。

網站的真實性體現並不僅僅是展示出來的通過介面獲取到的數據內容的真實性,更包含了網站原本載入的 HTML、CSS 和 JS 文件,甚至圖片文件的真實性。
在僅使用 HTTP 的情況下,攻擊者有多種方式來瀏覽器和伺服器之間截取並修改網路傳輸的文件內容,比如說現在情況比較普遍的運營商劫持。

針對題主提供的靜態網頁這種情況,實際上在沒有查看瀏覽器渲染代碼的情況下用戶並無法知道當前頁面是否載入或者執行了 JS 腳本,而通過劫持流量修改 HTML 內容,可以輕易地在 HTML 中加入 JS 腳本執行代碼,這樣在用戶使用瀏覽器瀏覽靜態頁面時就會出現 JS 執行的廣告內容或者監控內容。
然而更可怕的情況是,由於靜態頁面在通過 HTTP 傳輸時頁面上的任何內容都是可以更改的,那麼我們當然可以把頁面上所有的 「false」 替換為 「true」,設置可以按照我們的需要針對性替換固定內容,導致錯誤的內容被用戶接受,而內容編寫者卻完全不知情。同樣的,靜態圖片內容也可以通過劫持 HTTP 流量的方法修改。
試想一下,當你通過網路查找資料時,由於 HTTP 傳輸被劫持,靜態內容被惡意修改,導致你最後獲取到的知識完全不符合實際情況,最後導致不可挽回的後果,這會是一個多麼可怕的情況。
比如說你做了一個網站準備給你心愛的同公司女生告白,但是你因為忽視網路安全只使用了 HTTP 協議,連免費的 Let"s Encrypt 都不捨得註冊一個,在這個情況被同樣喜歡這個妹子的公司 IT 知道之後,IT 通過路由器埠的 HTTP 流量劫持把這個網頁上文字和圖片都變成辱罵妹子的內容,當你把網站網址發給妹子,妹子打開的時候會是一個什麼結果。

當使用了 HTTPS 之後,由於網路傳輸內容為加密之後的內容,密文修改之後不僅伺服器端無法通過驗證,客戶端也無法正確的解析流量包,使得內容中間修改這一情況變得可見,保證了內容的真實性。

講了這麼多,總結來說就是使用 HTTPS 技術,普及 HTTPS 技術是非常有必要甚至可以說是迫在眉睫的事情。
在當下有如此多免費的 SSL 證書方案,加上大量的伺服器性能過剩的情況下,建議所有網站都部署 HTTPS。

最後這裡要說一下,HTTPS 本身就是一個經過極其多安全性驗證的協議,按照正常的配置方法配置的 HTTPS 已經可以防止大部分中間人攻擊[2],並沒有必要為了刷某些排名去追求 A,A+的分數,特別是那些分數的某些設置會導致兼容性出現問題的情況下。

[1] HTTPS | Wikiwand
[2] 中間人攻擊 | Wikiwand


南京電信用戶,手機瀏覽器訪問的頁面基本都會被電信強行加上一個底部廣告,關閉廣告按鈕是右上角一個非常小的叉叉,基本上點關閉多半會跳轉到廣告頁。如果網站都是https,這幫臭流氓怕是再也做不了這噁心的勾當了。


你朋友給你寄個新年賀卡,覺得內容沒啥重要的,就沒封信封。結果你收到的變成了「我是斯諾登,我正在被 FBI、CIA、NBA 追殺請幫我渡過難關充一下 Q 幣,事後重酬,賬號 xxxxxxxx」,這樣你不就上當受騙了嘛。所以寄信封口是必要的呀。


……不僅僅影響網速,也浪費伺服器資源啊。
不根據自己的需求和內容就全上 https,感覺有點浪費。

MIT 還是哪個學校編程入門的網課上,那個老師提了一個意見:性能是用來換其它 Feature 的通貨。比方你要安全,你就犧牲一點性能;你要好看,可能再犧牲一點性能。優化性能,就有更多通貨,可以投到更多地方。

在這裡我們就是要安全,沒錢也要上。


都上HTTPS了,影響財路。MDZZ。


當然有,國內喪心病狂的http劫持,只有https才是出路


任何一個流氓路由,都可以把靜態的頁面改造。所以是否靜態,只對於原伺服器有意義。
任何HTTP流量都可以被篡改和仿造,而不被察覺。


HTTPS Everywhere!

△圖片來源於互聯網

HTTP 協議無法加密數據,所有通信數據都在網路中明文「裸奔」,這是導致數據泄露、數據篡改、流量劫持、釣魚攻擊等安全問題的重要原因。而 HTTPS 是用來解決 HTTP 明文協議的缺陷,在 HTTP 的基礎上加入 SSL/TLS 協議,依靠 SSL 證書來驗證伺服器的身份,為客戶端和伺服器端之間建立「SSL」通道,確保數據運輸安全。

光有 HTTPS 還不夠,全站 HTTPS 才是重中之重。

參考閱讀:為什麼非全站升級 HTTPS 不可?

HTTP的訪問過程

△HTTP訪問過程

抓包如下:

如上圖所示,HTTP請求過程中,客戶端與伺服器之間沒有任何身份確認的過程,數據全部明文傳輸,「裸奔」在互聯網上,所以很容易遭到黑客的攻擊,如下:

可以看到,客戶端發出的請求很容易被黑客截獲,如果此時黑客冒充伺服器,則其可返回任意信息給客戶端,而不被客戶端察覺,所以我們經常會聽到一詞「劫持」,現象如下:

下面兩圖中,瀏覽器中填入的是相同的URL,左邊是正確響應,而右邊則是被劫持後的響應

所以 HTTP 傳輸面臨的風險有:

(1) 竊聽風險:黑客可以獲知通信內容。

(2) 篡改風險:黑客可以修改通信內容。

(3) 冒充風險:黑客可以冒充他人身份參與通信。

HTTPS的訪問過程

相比HTTP,HTTPS 傳輸更加安全

(1) 所有信息都是加密傳播,黑客無法竊聽。

(2) 具有校驗機制,一旦被篡改,通信雙方會立刻發現。

(3) 配備身份證書,防止身份被冒充。

至於題主所說的證書費用、伺服器資源消耗等,其實都不是多大的事情。

SSL 證書費用

現在市面上已經有不少雲廠商提供免費 SSL 證書申請,像我們又拍雲提供 Let』s Encrypt 和Symantec 的兩款免費證書。

詳見如何一鍵申請又拍雲 Let』s Encrypt,Symantec 免費證書並升級 HTTPS"

伺服器資源消耗

這裡的消耗主要來自於握手時候的消耗,建好連接之後就不太耗了。那麼採用 HTTPS 後,到底會多用多少伺服器資源?

2010年1月 Gmail切換到完全使用 https, 前端處理 SSL 機器的CPU 負荷增加不超過1%,每個連接的內存消耗少於20KB,網路流量增加少於2%。由於 Gmail 應該是使用N台伺服器分散式處理,所以CPU 負荷的數據並不具有太多的參考意義,每個連接內存消耗和網路流量數據有參考意義。這篇文章中還列出了單核每秒大概處理1500次握手(針對1024-bit 的 RSA),這個數據很有參考意義,具體信息來源的英文網址:ImperialViolet。

訪問速度

繁重的計算和多次交互天然的影響了 HTTPS 的訪問速度。如果什麼優化都不做,HTTPS 會明顯慢很多。如果做過常規優化,但是不針對 HTTPS 做優化,這種情況下測試的結果是 0.2-0.4 秒耗時的增加。如果是沒有優化過的站點,慢 1 秒都不是夢。

所以,不是慢,是沒有優化。

最後再次呼籲下:HTTPS Everywhere!HTTPS Everywhere!HTTPS Everywhere!

對HTTPS想要做更多了解的,請移步:HTTPS 原理詳解


電信無法在https里強插廣告
還是希望全面https的,這樣再也不用看到電信強插的廣告了
至於速度這是錢砸的出來的,我只要沒廣告就好


對於懂的人來說非常有意義,對於不懂的人來說簡直神煩。
比如蘋果的app在進行in-house發布的時候,就會強制要求使用https。其實過去並沒有強制要求使用https,但是想想,你可能下載了一個假app,多可怕。
然而這種設計也會為用戶帶來麻煩,甚至是感到討厭。自己發的證書會出現12306以前那種尷尬,用戶在不懂技術的情況下,反而覺得有危險,需要做很多引導和解釋說明。


首先來講HTTPS的確是會帶來額外的開銷,這一點是沒有問題的。

但是提問者你對HTTPS的理解未免太狹隘,舉的例子更是……
誰告訴你HTTPS的意義僅在於傳輸隱私內容或者秘密信息交互啊?
網站身份認證也是非常非常重要的一個環節,不然的話,大家自己給自己頒發證書就好了,何必那麼麻煩呢?

W3C幾乎是理所當然的需要HTTPS,因為這是一個權威文檔的發布網站,如何確保其權威性?那個DNS可以隨便解析的域名嗎?
顯然不是,只有證書才能確保。


所以說,HTTPS解決了兩個問題,傳輸安全和身份認證。尤其是後者,是對DNS這種不靠譜的玩意兒的一個很重要的補充。


同時,因為HTTPS相關技術的成熟,HTTPS帶來的性能損失已經大大的改觀,甚至可以忽略不計了。大部分高流量的網站服務,都會在前端層面進行SSL卸載,即將HTTPS請求轉換為HTTP請求向後進行傳輸。所以事實上真正後端的Web伺服器其實處理的還是HTTP請求,而沒有什麼性能上的損失。

的確,HTTPS的CDN流量費用通常要高一丟丟,SSL卸載也會帶來額外的性能損失,但是這些成本目前來說,都在可接受的範圍內。

但是!即便HTTPS有如此多的好處,我們也沒有必要在任何地方都使用HTTPS作為我們的通信協議

一些典型的例子如內網的通信,使用RESTful進行的內網數據傳輸或者遠程調用,HTTPS顯然是不必須的。

實時視頻流、大文件的分發和下載,含有數字簽名的文件/文檔分發,這些目前也沒有迫切的需求使用HTTPS。

基於HTTP協議的安全加密傳輸,自然也沒有必要選擇HTTPS,因為我們已經進行了加密,再多一層的傳輸層安全並沒有太大的意義。當然這種需求我們一般會直接選擇HTTPS傳輸,但額外的CDN費用是一個理由。


無需根據需求和內容確定,任何情況下都應該使用https!
無需根據需求和內容確定,任何情況下都應該使用https!
無需根據需求和內容確定,任何情況下都應該使用https!

https是來解決http存在的問題的,故名思議,安全是http最大的問題,所以https的主打就是安全。
這其中最重要的不是「內容被監聽」,而是「信息被篡改」。
http沒有任何保護信息不被篡改的能力,這意味著你接收到的信息可能不是伺服器發出的。
現在大家也看到這一漏洞被不少人利用,最多的就是運營商的http劫持,在你的網頁中嵌入廣告。

另外,https不存在任何的性能負擔,僅僅是初次連接時多一步認證。而且使用了更新的http技術,可以帶來很多性能的提升,如今僅僅為了性能而使用https也不少見了。

而且隨著免費證書和一鍵配置的出現和普及,證書和配置也更加方便。
現在唯一阻礙https普及的,就是部分如題主這樣網路從業者的觀念。

最後,我再重複三遍——
任何情況下都應使用https!!!
任何情況下都應使用https!!!
任何情況下都應使用https!!!


非常有意義,我的博客掛載在阿里雲,某天,我去訪問自己的博客時,彈出這個:

這篇博客是介紹如何搭建一個科學上網的,查到的原因可能是裡面有一些不適合公開討論的敏感詞吧。於是我裡面把博客升級到了 HTTPS,然後就可以正常訪問了。至於其中的原理,可以另寫篇文章詳細介紹。


然而各種跡象表明,在我國境內訪問境外網路,很多時候都會拿到一個假的證書。如果你放行假證書,就等於沒有https。如果你不放行假證書,就等於無法上網。

Windows 10的預設配置是安全的。Chrome因為不閱讀Windows 10的預設配置,愛好者們應該使用「--ssl-version-min=tls1」參數來啟動Chrome。這樣在不讀到假證書的情況下,攻擊者就無法通過欺騙你的客戶端來吧雙方的https版本降低,which是為了使用低版本https的漏洞來使得你等於沒用https。當然遇到了假證書,就等於無法上網。


評論了一篇要普及https的文章,就看到推這個問題,先把之前的評論貼出來,有時間再慢慢展開吧

理論上是正確的,數據加密也是大的趨勢。但https出現20多年還沒普及是有很多原因的。拋開升級成本以及造成的性能損失外,單純從安全性講也沒有想像中那麼大,想像一下攻擊和防禦環境就明白了,而且大部分攻擊是可以通過其他途徑防禦的。當然更重要的一點是,就算全部換成https,普通用戶在面對中間人攻擊的時候,一般也會選擇繼續訪問網站,而且彈出的警告頁面會引起用戶的困擾,服務商不應該把安全問題轉嫁給用戶。當然還有運營商流量利益相關和其他雜七雜八的原因~~以目前的情況來看,https可能會逐漸完善並普及。但更可能是一個新的協議,例如SPDY,配合運營商線路以及路由器共同保護用戶數據安全。 總之,https誕生20多年還沒有徹底普及,只是因為它沒有想像中那麼好~

====================================

太久沒有跟相關資訊,原來SPDY已經由HTTP 2.0替代了。具體信息請參考搜索引擎吧。
運營商問題是無可奈何,急需相關法律法規來完善,因與技術關係不大,就不予討論了。


當然是有意義的。
國外出於數據安全的考慮相比於國內更早地普及了HTTPS,這裡的數據安全通常指的是保護用戶數據隱私防止一些類黑客行為的數據監聽和數據篡改。
國內HTTPS的普及相比於國外晚很多,原因在於(1)費用問題:HTTP到HTTPS需要購買證書,功能越強大的證書費用越高。(2)性能問題:傳輸性能上多了幾次握手,網路耗時變長;機器性能上,https要多做一次RSA校驗,更耗伺服器性能。(3)其他技術問題:如國內CDN早期普遍不支持HTTPS;加了證書之後第三方網站會看不到refer等等。這一系列問題導致國內大部分網站都不願意使用HTTPS。
但是,2014年底開始發生變化。以百度淘寶為先驅的國內大型互聯網公司,開始陸續進行HTTPS全站改造計劃。難道是技術發生重大突破,上述問題都不再是問題了?其實並不是,國內的HTTPS改造可以說是被逼無奈的,被運營商劫持逼的。
從2014年開始,運營商劫持事件就愈發的嚴重,運營商劫持有兩種方式,一種是DNS劫持一種是HTTP劫持。DNS劫持是通過篡改DNS記錄的方式將流量引導運營商的緩存伺服器以減少三大運營商之間的網間流量結算費用,HTTP劫持是通過數據包篡改的方式在你的請求內容中植入廣告等一些信息。當然這些事情不止運營商在做,但是運營商應該是佔了大頭的。下面是一些HTTP劫持的例子:

早期某打車軟體的錢包界面被植入聯通的導航欄

某電商軟體被植入黃色彈窗 劫持對互聯網公司帶來的影響(1)影響用戶體驗,不管誰都不希望自己正常上網的時候天天在界面里彈出廣告,而DNS劫持有時候更是會由於資源過期等原因直接返回白屏。(2)數據泄露,比如之前百度啟用HTTPS之前就有人說「我用百度搜了一個黃金,馬上就有人聯繫我了」「我在百度上搜了一種病,馬上醫院就來電話了」(3)涉黃反動等政治危險,植入內容無法掌控,如果涉黃反動企業將十分被動。
在2015年底,騰訊、微博、小米科技六家公司曾發布聯合聲明,共同呼籲打擊流量劫持問題。但是收效甚微。因此企業改造HTTPS從2014年萌芽之後,到2015年底進入徹底爆發期。那個階段幾乎每個知名一些的公司的運維主管手裡都會放著一份HTTPS改造計劃。
自此,開始進入了全民HTTPS的時代。


還是有意義的 ,看大家討論的最多的就是運營商劫持,沒錯,我也是深受其害的一員。

大家腦補一下以下場景,在一個跟各種機型以及解析度適配好的webapp中,突然莫名其妙出現了一個廣告banner,整個布局都被拖下去了,感覺崩潰。

為了制止這種情況的出現,果斷上了https。

https大法好,運營商劫持跑不了~


update 01/31/2017
評論裡面有同學質疑我提出的第二點,關於https到底能不能劫持,我們看owasp的說明:
Man-in-the-middle attack

The MITM attack could also be done over an https connection by using the same technique; the only difference consists in the establishment of two independent SSL sessions, one over each TCP connection. The browser sets a SSL connection with the attacker, and the attacker establishes another SSL connection with the web server. In general the browser warns the user that the digital certificate used is not valid, but the user may ignore the warning because he doesn』t understand the threat. In some specific contexts it』s possible that the warning doesn』t appear, as for example, when the Server certificate is compromised by the attacker or when the attacker certificate is signed by a trusted CA and the CN is the same of the original web site.

這裡就不具體翻譯了,簡單說下的意思就是,https同樣可以進行中間人攻擊(MITM),不同於http的中間人攻擊在於這裡攻擊者建立了兩條獨立的SSL會話,分別是攻擊者到網站,攻擊者到用戶,當然用戶瀏覽的時候由於證書的問題會有警告提醒,但是大多數用戶由於不了解其中的危害,通常會忽略繼續訪問。還有一些情況並沒有警告:攻擊者的證書由同一個CA簽名並且和劫持的網站有相同的CN。
關於具體的可行性,owasp同樣提供了幾款工具,感興趣的同學自己測試一下
——————————————————————————————————————————

首先這題的答案是:非常有必要

關於https對於http安全性的加強,已經有很多優秀的答案和文章可以看,這裡就不贅述了:
HTTPS 加密了什麼內容? - 加密 - 知乎
HTTPS - Wikipedia

但是,實際情況是,網路環境的惡劣導致了網站上了https也沒什麼卵用:

1、各大網站本身安全性太差,https只能保證用戶數據和資料在傳輸中不被攻擊,但是你的資料庫被人拖了就是httpsssssss也沒辦法啊
2、各種DNS劫持,相信大家應該比較了解各級運營商劫持DNS的事情了,除了運營商劫持,還有家用路由器被劫持(我曾經幫人修過路由,tp某路由,dns被改,所有網頁自帶ad),還有一些網上公開的免費的dns(114.114.114.114都被人扒過皮)
有人可能會問,https不是傳輸加密嗎?怎麼會被dns劫持呢?
這裡我簡單說一種劫持的思路:用戶訪問某個網站,實際是訪問偽造的網站伺服器(https,自己偽造的證書),然後偽造的網站向真正的網站發起https訪問,相當於偽造的伺服器成了一個代理,你的流量都通過該伺服器轉發了(當然還順便干點猥瑣的事情)
3、網民的素質低,很喜歡用一些免費的服務,什麼免費翻牆代理、免費xx插件等等,免費的背後付出的代價往往更高。你的流量被監控,甚至表單、數據被劫持。。
4、國內https證書管理的混亂,12306網站的證書我就不吐槽了,大家都懂得

關於運營商我之前寫了一篇文章《運營商之殤》,但是發在知乎專欄總是提示我修改,改來改去還是發不出來,有興趣的可以關注我的公眾號:god-kow,查看歷史記錄


推薦閱讀:

自2013 年 7 月大量 Apple ID 被盜用來在中國區 App Store 進行刷榜,誰的嫌疑最大?
本人小白準備學習網路攻防,想知道這門技術十幾年後會被淘汰嗎?如果感覺回答很麻煩直接回答會或不會就好了?
公司是否能夠亦或是否有權截獲員工在公司電腦使用https訪問網站的內容?如何實現?
SSL根證書里的公鑰為什麼是密文?
有哪些方法查到網站真實ip?(網站用了CDN)?

TAG:Web開發 | 網路安全 | 網站 | 黑客Hacker | HTTPS |