锵锵枪 wrote:

为什么需要HTTPS



一、HTTP安全风险

提及这个话题,避免不了说下HTTP的明文传输,存在窃听、篡改、冒充风险。而HTTPS配置身份证书,采用点到点的加密传输,具备校验机制,能有效避免HTTP的安全问题。

但是存在风险并不是我们抛弃HTTP的理由,所以我更想说的是下面的问题。



二、当前网络形势

1、越来越规范的服务器机房

说到网络窃听与篡改,最早的安全事故以及最容易出现问题的环节就是服务器机房网络。

不过机房出问题影响仅限机房内的网络服务,而且近些年IDC管理越来越规范,相关的安全问题也越来越少。大型网络服务平台也逐渐自建IDC机房,保障网络安全。

2、越来越不安全的运营商网络

通常我们通过手机4G、家庭宽带、公司网络接入互联网,访问各种需要的网路服务。这样的网络访问总的来讲是安全可靠的,然而随着近些年运营商的流量业务拓展经营,运营商网络中架设了越来越多的基础网络设备外的其它网络设备,运营商网络安全也越来越脆弱。

通过这些网络设备,运营商基础员工、第三方厂家人员可以轻易的篡改用户的网络数据访问。

所以不要以为百度一个搜索网站全站https只是由于脑子发热,那是百度检测到很多地区他的竞价排名广告被(运营商)替换了。

之前一段时间临时用过联通的号码,发现手机上网广告忒多【跟电信和移动比较,垃圾广告明显多了很多】,研究发现只要手机访问HTTP的网站,都会随机被插入无数垃圾小广告,而同样的网站,电信、移动网络访问,是清爽无广告的。跟10010投诉了无数次,客服人员也不知道找谁处理,也不得不佩服联通管理的混乱。最后不得不放弃了联通。


3、随处可用的WIFI

在流量不足、4G信号不好的情况,一个可以使用的Wi-Fi热点如同一根救命稻草。

如果运营商网络只是插些小广告赚钱,而这些开放的Wi-Fi热点就干着无数不为人知的苟且。它们偷偷的收集着你的账号、密码、身份信息、个人喜好、银行账户等等。

它们通过给小商户、小饭店免费发放Wi-Fi路由器,然后通过信息黑产谋取暴利。


三、HTTPS VS HTTP

相比HTTP,HTTPS多了加密的机制,在数据处理上需要更多的CPU资源,数据传输上需要消化更多的网络带宽。所以早期的互联网只是在敏感环节,如登录、支付等环节使用https,其它时候使用明文的http。

如今服务器硬件往往过剩,终端性能也飞速提升。https比http消耗的资源可以忽略,而且随着HTTP2的应用,更好更快的HTTPS逐渐来临,未来几年将是一个全面进入https的网络时代。

2019-05-05 18:59:43  1 回复

====