7

网骗欺诈?网络裸奔?都是因为 HTTP?

 3 years ago
source link: https://www.upyun.com/tech/article/601/网骗欺诈?网络裸奔?都是因为 HTTP?.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

先跟大家讲个故事,我初恋是在初中时谈的,我的后桌的后桌。那个时候没有手机这类的沟通工具,上课交流有三宝,脚踢屁股、笔戳后背以及传纸条,当然我只能是那个屁股和后背,还不是能让初恋踢到的后背。

但是说实话传纸条真的很危险,尤其是这种早恋的纸条,被抓到就是一首《凉凉》。

f6FbauV.png!mobile

特别我和初恋中间还隔着一个搞事的狗蛋,常年使用神乎其技的笔迹模仿技术篡改小纸条的内容,往往我写的是“放学一起去逛逛吧”,到了我初恋手里就变成了“放学一起写作业吧”。以至于我常年满怀期待的放学,然后痛苦的畅游作业的海洋。

不过好汉不提当年,我现在已经是一名出色的互联网人了,再也不用传纸条了,也不用再接受狗蛋的支配了。

这样想的我,猝不及防的就发现自己拍摄的美女图片,居然全部变成了如花!这到底是怎么回事?

Q1  美女变如花,数据在裸奔!聊聊什么是网络劫持。

在浏览器中输入相同的 URL,有的时候并不会出现同样的内容,比如想我今天遇到的美女变如花一样。

77Ffme6.png!mobile

△ 美女变如花

左边是正确响应会出现的图片,而右边则是莫名其妙出现的如花。这是因为 HTTP 被劫持了。

当 HTTP 被劫持时,虽然DNS 解析域名 IP 地址不变,但是在和网站交互过程中劫持了用户的请求。在网站返回用户信息前,就返回了其他的请求,导致正常网站出现弹窗广告,甚至跳转到其他恶意网站。除去网页内容的变化,HTTP 被劫持后还会导致以下问题:

  • 用户输入正常网址跳转到其它地址,导致用户无法正常访问,网站流量受损;

  • 通过泛域名解析生成大量子域名共同指向其它地址,跳转到非法网站,造成网站权重降低;

  • 域名被解析到恶意钓鱼网站,导致用户财产损失,造成客户投诉;

  • 网站经常弹出广告,影响客户体验,造成信誉度下降。

与此同时,HTTP 劫持还有很多类型,详情可以查看 《网站莫名跳转,从百度谈什么是网站劫持?》

这些繁杂的手段让人防不胜防,也让网站变得极为不安全。可以偏偏对于现代社会而言安全是第一要素,以致于连浏览器都进化到自带安全监测,可以在你访问网站时给你安全提示。

Q2  链接不安全,链接不是私密链接,都是因为链接不是 HTTPS,这你注意到了么?

相信各位互联网人上人在使用1024G网络高强度冲浪的时候肯定见到过下面这个提醒。

iUruIfU.png!mobile

啊? 什么? 你说你没见过? 答应我不要再用 IE 了好吗!

咳咳,那么说回正经的,出现这个提示可并不是因为逛了什么让人会心一笑,你懂我也懂的网站,纯粹只是因为当前网站使用的 SSL 证书不是正规证书,或证书已经过期时, HTTPS 协议无法正常请求而已。

从互联网发展至今,HTTP 一直担任互联网传输信息的标准协议。传输的信息可以是互联网内计算机之间的文档,文件,图像,视频等。在 HTTP 请求过程中,客户端与服务器之间没有任何身份确认的过程,数据全部明文传输,“裸奔”在互联网上,所以很容易遭到黑客的攻击。

因此未来保护数据安全,带有 SSL 的 HTTP——HTTPS 诞生了。HTTPS 即 HTTP+SSL/TLS,可以理解为 HTTP 下加入 SSL 层,HTTPS 的安全基础是SSL,因此加密的详细内容就需要 SSL,用于安全的 HTTP数据传输。

整体来看,相比 HTTP,HTTPS拥有以下五个优点:

  • 最大限度地提高 Web 上数据和事务的安全性;

  • 加密用户敏感或者机密信息;

  • 提高搜索引擎中的排名;

  • 避免在浏览器中出现“不安全”的提示;

  • 提升用户对网站的信赖。

安全在现代社会是放在第一位的,所以 HTTPS 在现代互联网中有着举足轻重的地位,它保护着我们在网络上的安全。

Q3  HTTPS 比 HTTP 更安全吗?为什么大多数网站还是使用 HTTP?

尽管 HTTP 协议无法加密数据,让所有通信数据都在网络中明文“裸奔”,容易导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题。 大家也都知道 HTTPS 是用来解决 HTTP 明文协议的缺陷,它通过在 HTTP 的基础上加入 SSL/TLS 协议,依靠 SSL 证书来验证服务器的身份,为客户端和服务器端之间建立“SSL”通道,确保数据运输安全。

但是大多数网站还是选择使用 HTTP 来进行访问,难道他们不知道 HTTPS 有多好,安全有多重要么?其实不是的,大家都知道 HTTPS 才是现在互联网最需要的形态,特别如果能使用全站 HTTPS 就能保证数据安全,维护用户隐私。但是大部分网站依然使用 HTTP 的原因则是以下三点:

  • SSL 证书费用问题: 开启 HTTPS 的必要条件就是要有 SSL 证书,而 SSL 证书是需要申购的,看到“申购”二字,大部分人都会觉得和费用支付离不开,所以网站会因为不想每年在证书上花费不菲的费用选择使用不安全的 HTTP。

  • 服务器资源消耗问题: HTTPS 连接服务器端资源占用高,HTTPS 协议握手费时,为了不增加服务器资源的消耗,部分网站也会选择放弃 HTTPS。

  • 访问速度降低问题: 比起 HTTP 而言,HTTPS 需要多几次握手,用户从 HTTP 跳转到 HTTPS 需要一些时间,这会显得网站访问速度变慢了,为了让网站访问更流畅,部分网站也会放弃 HTTPS。

其实如果你更深入的了解一点,就会发现上述的几个问题都不存在,或者说可以通过优化来解决这些问题。而优化的方式也非常简单,想要了解的小伙伴可以点击阅读 获取,只需要你读完这篇,你所担心的问题都会迎刃而解~


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK