看到網址前的小嘆號，隱私就處在危險的境地

01-26

過年回家，多和親人普及安全知識，以免在國內複雜的網路環境下，被流氓和騙子傷害。今天我們聊聊 HTTPS，以及谷歌在推進網路安全方面的努力。

每次到春節臨近的時候，大家都會被提醒，要提高安全警惕注意安全。除了現實中我們面對很多「有趣的」騙子，網路中的流氓騙子也不少。

我們瀏覽網站的時候，就面臨各種「高科技」欺詐手段。例如釣魚網站、網站劫持、木馬和病毒等。其中，流量劫持 總是遊走在灰色地帶，不少有頭有臉的公司背地裡也會用這樣的手段牟利。

當你看到 Chrome 網址旁邊出現了小嘆號，一定不要輸入自己重要的銀行卡和賬號密碼。小嘆號的出現，意味著與網站之間的連接是不安全的。網銀，重要的郵箱服務，賬號管理，都不應該出現小嘆號。

網址旁邊的小嘆號提示站點仍在使用不安全的 HTTP 協議。

什麼是 HTTPS，作用是什麼？

如果網站仍然使用 HTTP，傳輸數據是不加密的，在數據流經的節點上網頁內容就可能被其他人修改，植入惡意的代碼和廣告。

本來你訪問網頁A，中間人可以將一段惡意代碼添加到網頁A中，甚至用另一個網頁B來替代原本你要訪問的網站。

這項手段可以做極端的壞事，例如盜取你的賬號密碼，對財產直接造成損害。也能做一些「灰色」的變現收入，例如在他人網站上加廣告，而網站的主人卻不知情。如果你是聯通用戶，相信你對中國聯通流量劫持，在他人網頁中加廣告已經恨之入骨。

HTTPS 相比 HTTP 多了一個 Secure，就是為了解決上面提到的 HTTP的局限。HTTPS 可以為我們提供：

用送信來舉例，簡單解釋上面三個特性：確保給你送信的就是你認識的那個寫信人（身份驗證），並且信的內容是沒有被篡改的（完整性），中間也沒有人偷看（機密性）。

根據 Google 自己的統計，HTTPS 的推廣已經取得階段性勝利，切換到 HTTPS 的網站在不斷增長。到目前為止，使用 Chrome 桌面端的用戶所訪問的流量，已經有一半都使用了 HTTPS。

Google 還發布了「各大熱門網站的 HTTPS 實施情況」報告，督促這些站點儘快使用安全的 HTTPS 連接。有趣的是一直宣稱自己是中國第一大安全公司的 360.cn 出現在熱門站點的頭一個，並未使用 HTTPS。

為了讓用戶瀏覽網頁更佳安全，Chrome 很早就在地址欄前方顯示連接站點的安全性提示。但之前 Chrome 並不會將 HTTP 連接的站點標記為「不安全」站點，只是有一個灰色的感嘆號提示可能的風險。

從 2017年1月開始，Chrome 56 版本將修改安全提示，針對收集用戶密碼或信用卡卻仍在使用 HTTP 的網站，標記為「不安全」站點。

灰色感嘆號的圖標旁邊，將加入文字提示。從設計中我們可以看到，目前 Chrome 仍然給 HTTP 連接的站點中性的提示。Chrome 團隊認為這樣是不夠的，中性提示並不能反映出 HTTP 連接的安全風險。

用戶研究發現，灰色感嘆號提示並不足以讓用戶理解站點是不安全的，同時用戶也會對過於頻繁出現的警告麻木。Chrome 計劃未來強化不安全 HTTP 站點的提示，在地址欄使用醒目紅色的標記。

在不久後版本中「隱身模式」下，就將採用紅色來標記「不安全」的提示。因為「隱身模式」場景下，用戶期望就是最大程度保護隱私。最終，Chrome 可能會對所有的 HTTP 站點都進行紅色標記。

所有的站點未來都應該默認使用 HTTPS。

幾個月前我寫過一篇如何使用免費的 HTTPS 證書提供商 Lets Encrypt 的教程，這篇文章獲得了非常高的關注和流量，也是目前所有個人網站切換到 HTTPS 最全面的教程，希望對大家有幫助。

網站切換 HTTPS 教程：Let』s Encrypt 給網站加 HTTPS 完全指南

在國內複雜的網路環境下，需要時刻保持警惕。鼓勵大家對象親人、老人普及安全知識，拒絕流氓騙子。

（完）

Stuff I Learned Yesterday 系列文章與你分享科技、設計、娛樂有關的話題。歡迎關注、打賞和轉載。

最後：人在網上飄，哪能不挨騙。你是否有網路被騙或識破騙局的經歷？歡迎留言和大家聊聊，造福大家。原文：看到網址前的小嘆號，隱私就處在危險的境地