流量劫持背後:Google 在用「看不見」的方式保護你的隱私安全
文 | 劉丟丟
當你一次次在不同的網站輸入自己的賬號密碼、身份證號、銀行卡號時,有沒有考慮過:「這安全嗎?」可能對於大多數人來講,我們無法得知自己的數據會在何時、以何種方式泄露,但至少應該知道——我要訪問的網站是否值得信任。
去年 9 月,Google 宣布在 Chrome 中將所有未通過 https 加密的網站標記為「不安全」。用戶在載入網頁時,地址欄左側的圖標會提示安全狀態,如果是 https 打頭的網頁會顯示綠色的小鎖,代表網頁「相對安全」,http 打頭的網頁則會提示「不安全」或者「危險」。
這樣做是為了幫助用戶以更安全的方式瀏覽網頁,但同時也在督促網站轉向 https 模式。
身份驗證、數據加密:可不止加個「s」那麼簡單
當我們有越來越多個人信息和財產安全牽扯到網路時,http 的安全隱患也愈發顯眼。
我們瀏覽網頁是通過和網站間的數據傳輸實現的,http 提供了統一的標準來規範這種行為。http 在設計之初,更多是考慮傳輸速度和效率,所以傳輸過程中所有數據使用的都是明文,也並沒有對傳輸雙方的身份進行驗證,信息很容易被獲取甚至篡改,這給用戶的上網行為帶來安全隱患。
明文信息在傳輸過程中要經過運營商、路由器、Wi-Fi 熱點等多個環節,每一層數據都有被泄露的可能。很多人都遇到過網站被劫持的情況,最常見的就是網頁間彈出的小廣告,這就是明文信息在傳輸過程中被進行了篡改。一些流氓軟體、網站用流量劫持的方式來進行惡意推廣。
流量劫持只是明文信息傳輸的危害之一,更嚴重的後果是泄露用戶隱私。比如當你在網購時輸入銀行卡號、密碼等信息,沒有經過加密的數據就像仍在路邊的 iPhone X,在有一定技術手段的黑客面前簡直就是唾手可得。
在 http 的基礎上,https 增加了身份驗證和數據加密來保證傳輸安全,簡單來說,https 就是安全版的 http。網站在收到用戶的訪問請求後,會首先發送證書和一對密鑰給瀏覽器,一個用作加密,另一個用作解密,瀏覽器在認證網站可信之後,才會把加密過的信息傳輸給網站。有了認證和加密的 https 保證了數據的安全:除了傳輸的雙方,第三方無從獲得和更改數據。
對於網站來說,經過加密的網頁可以防止被惡意劫持,而對於用戶,https 保證了自己的數據不被泄露。
明文信息不夠安全,轉「https」成大勢所趨
https 協議在 1994 年就已經推出,但一直未得到廣泛的應用,因為加密的數據無法像明文信息一樣快速傳輸,使用 https 會讓訪問速度變慢。
在 https 的推行上,Google 是先驅者。2010 年初,Gmail 全面默認以 https 訪問,Google 提到:「我們在安全和速度之間找到了一個折中的方案」,默認使用 https 的 Gmail 保護了用戶的數據不被第三方獲取。同年 5 月份,Google 宣布將 https 的啟用範圍擴大到整個「Google 搜索」,用戶的搜索內容不會再被第三方獲取或阻止。
2016 年,Google 宣布在 Chrome 瀏覽器中將所有未通過 https 加密的網站標記為「不安全」,這是 Google 全面向 http 說「不」的開始。隨後,蘋果在 WWDC 2016 大會上也宣布了一項針對隱私安全保護的政策:「蘋果將對 Apple Store 中的所有應用啟用 ATS(App Transport Security:應用程序安全傳輸)功能,強制通過 https 連接,如果開發者在 2017 年 1 月 1 日仍然採用 http,應用將無法下載。」在國內,微信年初推出的小程序也要求全部採用 https 協議。對開發者來說,部署 https 已經成為大勢所趨。
Google 全面推行 https 一年,已經取得一些明顯的成效。從 Google 的報告中可以看到,一年前全球前 100 的網站中只有 37 個默認使用 https,而現在這個數字已經上升為 71 個。
近兩年,國內很多網站也開始轉向 https。2015 年,百度啟用全站 https 加密,搜索結果的內容不會再被第三方路由器或瀏覽器篡改。2016 年,直播平台鬥魚全站升級到 https,彈幕中的惡意攻擊、廣告得到了抑制。新浪微博、B 站也都陸續啟用 https。
對於訪問量、用戶量巨大的網站來說,由 http 轉 https 並不是個小工程,前期要付出的成本、壓力、技術要求是很高的。在推行過程中,Google、蘋果這樣具有平台效應的企業所付出的努力至關重要。對於這些「先行者」來說,前期可能並不會獲得明顯的成效,但對行業未來而言,技術革新作用巨大。
巨頭推動,再主流的技術也要走下神壇
與「拋棄」http 很像的一個例子是 Flash 的退出。最早 Adobe Flash Player 以節省帶寬的特點成為網頁中廣告、動畫的常用格式,但它本身的諸多限制和信息安全問題越來越受人詬病。2010 年,喬布斯發表了一篇「對 Flash 的思考」的文章,指出隨著 HTML5 的發展,Adobe Flash 在網頁中變得可有可無。關於喬布斯個人與 Adobe 的矛盾當然也是拒絕 Flash 的原因之一,但 Flash 耗電、不安全等本身存在的問題才是其「被淘汰」的主因。蘋果、Facebook、Google、微軟等公司相繼棄用 Flash,今年 7 月份,Adobe 宣布將於 2020 年 12 月 30 日停止更新和發行 Flash Player。
圖片來源:Wccftech
從長遠的時空角度看,http、Flash 從神壇下落都是必然,但如果沒有大企業的「推動」,新技術的革新可能沒有那麼快。Google 添加「不安全」提示,蘋果棄用 Flash,對大多數用戶來說根本感受不到。
舊規則被替代,其本身問題暴露是主因,新技術出現是外部因素,在此之上,大公司的推動才是「壓死駱駝的最後一根稻草」。
(關於 Google 全面啟用 https 的契機,其實還有另一段更深的「傳說」,感興趣可以到 Gmail 的維基百科頁面查看。)
編輯:早優夫斯基
原文鏈接 → 只為商業新變數
推薦閱讀:
※從零部署一個https網站
※看到網址前的小嘆號,隱私就處在危險的境地
※TLS完全指南(一):TLS和安全通信
※知乎都全站 HTTPS 好久了, 你還好意思不懂 HTTPS?
※搭建基於 Nginx 的 Https 站點