铅锤哥:为什么你会收到“性感主播在线聊天”的广告?谈谈HTTPS连接的好处

相信大家都和铅锤哥一样,经常好好地打开一个网页,却被强行插入一些类似如下的“性感主播在线聊天”的小广告。

又或者“屠龙宝刀点击就送”的小窗口广告

这种强插广告的行为,在国内经常发生,主要原因是运营商进行HTTP劫持造成(没错,就是你熟悉的那几大网络运营商),铅锤哥今天就来说说HTTP与HTTPS这两个互联网上广泛使用的协议。

要解决这个问题,有一个最好的解决办法就是使用HTTPS。

HTTPS能够加密网页传输内容,不仅可以防止强插广告,还可以防盗号。好处这么多,然而却没有成为主流。据统计,中国目前所有的网站当中,只有千分之一的网站域名使用了HTTPS

HTTPS是什么?

目前我们浏览的网站大多数都是使用HTTP协议,它是这样子运作的。当你浏览网站的时候,你会向这个网站发送一个浏览请求,中间经过DNS找到服务器的IP地址,如果没有问题的话,服务器会收到你的请求,返回给你一个“OK我收到了”的信息,然后就会向你传输数据。

然而,这个过程全部都是明文显示的,没有加密

既然没有加密,那么这个数据的传输过程中所有环节都能看到你的内容。

就好像以前小学上课时,你写了一张“放学一起回家”的小纸条,要传给前排的妹子,纸条传递要经过张三和李四,他们都可以偷偷拆开看这个纸条,甚至可以在里面添油加醋,改成“放学一起回家,睡觉觉”。

如何才能防止信息被篡改?加密是个很好的解决方案。HTTPS,就是加密版的HTTP。

铅锤哥以谷歌浏览器为例,如果地址栏左侧有一个的标志,就说明该网站使用的是HTTPS安全连接。

HTTPS使用了SSL/TLS进行加密,这是一套广泛使用的公钥/私钥机制加密系统。使用了HTTPS后,基于证书系统的公钥一方面保证用户连接的是正确的网站,另一方面结合私钥,可以保证网络数据不会被窃听和篡改。

所以,HTTPS可以防止钓鱼(网站带有数字签名,签名不对无法连接),还加密了传输的数据,他人无法窃听和加料,盗号和插广告无从下手。和HTTP相比,HTTPS的确更能保证用户的隐私和安全。

为啥HTTPS依然不是主流?

尽管HTTPS有这么多好处,但是还有大量的网站没有使用。就算是使用,也只是在少数关键环节使用。主要还是因为成本问题。

从HTTP转换到HTTPS是需要一些成本进行改造的,网站需要从HTTP的80端口修改成HTTPS的443端口,同时由于HTTPS需要更多额外的运算,更加消耗资源,为了保证用户的浏览体验,服务器等设备也需要升级,例如购买SSL加速卡等等,这个成本是不容忽略的。

另外,HTTPS使用的证书也是一个成本。证书需要专门的机构颁发,大机构颁发的证书不是免费的,每年都得交钱才能申请到证书。

尽管有一些便宜甚至免费的小机构证书,但一来适用度不如大机构的证书,二来申请证书始终是麻烦事。小网站的话,挂靠在拥有证书的服务器是个不错的办法,但更多的站长是懒得弄了,小网站本来就比较随意,反正没加密也能用,哪有这么多心思弄证书。

除此以外,HTTPS的兼容也有一定问题。例如网站部署了HTTPS后,页面想要内嵌其他站点的内容,如果内嵌的只是普通的HTTP内容的话,可能会出现一些问题。你可以看到一些HTTPS网站中没法内嵌优酷、土豆之类的视频,看视频需要点击跳转,也是由于这个缘故。

因此,HTTPS主要还是一些资本雄厚的大公司以及对安全有着硬性要求的站点在用。例如Google,反正有钱,旗下所有网站部署HTTPS也烧得起;例如淘宝,有钱是一方面,作为一个购物网站,花钱这点小事和在安全上捅了篓子相比,根本不值一提,所以淘宝所有的页面都部署了HTTPS。

HTTPS是否绝对安全?

那么是否使用了HTTPS,是否就万无一失了呢?也不是。首先HTTPS的证书就有可能存在安全问题,因为某些颁发证书的机构会滥发证书,甚至会制造假证书,假证书可以用来进行中间人攻击。

例如,当你使用HTTPS连接到某个站点,浏览器告诉你站点连接是安全的HTTPS,但不好意思,实际上这个HTTPS只是基于假证书的连接,你在网站上做的一切都有可能被假证书的机构窃听。

HTTPS除了防窃听,还可以防止他人修改传输内容,例如防止运营商干扰TCP连接等。但是运营商虽然看不到传输的数据,还是有办法整你的,例如额外给你丢几个包之类的。

总结

但无论如何,HTTPS仍是大趋势。比如苹果规定应用商店所有App必须使用HTTPS连接网络,下一代HTTP协议HTTP/2也将强制使用加密连接。因此,大型网站换用HTTPS等加密连接,只是时间问题。HTTPS的确可以解决很多问题,希望互联网能尽早全面换装加密连接,更好地保护用户的隐私和安全吧。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190509A0J8TE00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券