摘要 : 我們每天訪問(wèn)的互聯(lián)網(wǎng)連接是一個(gè)涉及眾多設(shè)備及服務(wù)提供商的“接力”鏈條,用戶(hù)通過(guò)瀏覽器在網(wǎng)頁(yè)上的每一個(gè)動(dòng)作、每一個(gè)搜索、每一次點(diǎn)擊,足跡都會(huì)經(jīng)過(guò)中間代理服務(wù)器、路由器、wifi熱點(diǎn)、通信服務(wù)運(yùn)營(yíng)商等層層過(guò)關(guān)。我們的隱私信息在他們的眼皮底下一覽無(wú)余,因?yàn)檫@都是在傳統(tǒng)的網(wǎng)絡(luò)協(xié)議——HTTP下的明文傳輸方式
【聽(tīng)楊姐說(shuō)】
今天講的事情比較技術(shù),楊姐盡量把它講得不那么枯燥哈——因?yàn)楦蹅兠總€(gè)人的隱私強(qiáng)相關(guān),所以還是很重要的。
昨晚3.15晚會(huì)曝光了免費(fèi)WiFi的安全問(wèn)題。但WIFI不管免費(fèi)不免費(fèi),其實(shí)也只是眾多用戶(hù)在網(wǎng)上泄露隱私的一個(gè)環(huán)節(jié)。
我們每天訪問(wèn)的互聯(lián)網(wǎng)連接是一個(gè)涉及眾多設(shè)備及服務(wù)提供商的“接力”鏈條,用戶(hù)通過(guò)瀏覽器在網(wǎng)頁(yè)上的每一個(gè)動(dòng)作、每一個(gè)搜索、每一次點(diǎn)擊,足跡都會(huì)經(jīng)過(guò)中間代理服務(wù)器、路由器、wifi熱點(diǎn)、通信服務(wù)運(yùn)營(yíng)商等層層過(guò)關(guān)。
為什么?
因?yàn)檫@都是在傳統(tǒng)的網(wǎng)絡(luò)協(xié)議——HTTP下的明文傳輸方式,就是說(shuō)我用一個(gè)玻璃盒子裝著你的信息讓快遞在各個(gè)環(huán)節(jié)中傳送。所經(jīng)之處一覽無(wú)余,各家毫不客氣地在收集用戶(hù)行為的大數(shù)據(jù),信息被竊取后可能用作各種用途。
那么信息怎么樣才能安全?
輸入法咱們管不了,點(diǎn)擊的足跡也會(huì)被電腦的cookie、瀏覽器、操作系統(tǒng)等記錄。但是如果是搜索的話,最根本的辦法就是從網(wǎng)絡(luò)協(xié)議上改。
網(wǎng)絡(luò)上本來(lái)就有一種加密協(xié)議——HTTPS,但是只有跟錢(qián)有關(guān)的網(wǎng)站在用,比如網(wǎng)銀類(lèi),支付寶、財(cái)付通等等。全站采用HTTPS協(xié)議的此前還沒(méi)有。
看:這兩個(gè)是有的
淘寶網(wǎng)和騰訊網(wǎng)是沒(méi)有的:
目前,在所有涉及內(nèi)容的網(wǎng)站中,百度是率先開(kāi)始采用了HTTPS協(xié)議標(biāo)準(zhǔn)的,這樣可以通過(guò)認(rèn)證用戶(hù)和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶(hù)機(jī)和服務(wù)器。這是百度內(nèi)部一次徹頭徹尾的技術(shù)升級(jí):從HTTP到HTTPS!
這肯定花了很多錢(qián),坦白地說(shuō),用戶(hù)是不會(huì)有太大感知的,但是那些不法分子卻會(huì)很絕望了——在百度搜索引擎這邊,他們不可能獲得用戶(hù)隱私!
好,第一個(gè)問(wèn)題,搜索引擎為什么要把技術(shù)升級(jí)到HTTPS,這一個(gè)小小的“S”意味著什么?
其實(shí)長(zhǎng)期以來(lái),網(wǎng)絡(luò)劫持一直是困擾搜索引擎的頑疾,搜索“百度無(wú)法訪問(wèn) 運(yùn)營(yíng)商劫持”可見(jiàn)每年都有不少結(jié)果。常見(jiàn)的劫持手段,無(wú)論是DNS還是TCP劫持,都會(huì)對(duì)用戶(hù)造成不良影響:輕者至少能明顯感知一次跳轉(zhuǎn),重者則會(huì)導(dǎo)致百度搜索結(jié)果為空白頁(yè),或者無(wú)法訪問(wèn)。更惡劣的劫持還會(huì)篡改百度搜索結(jié)果,在頁(yè)面上加入自己的廣告等。
嚴(yán)重到什么程度呢?舉個(gè)栗子,某位用戶(hù)在百度搜了“現(xiàn)貨白銀”一詞,幾分鐘以后用戶(hù)就收到了13封垃圾郵件、18個(gè)推銷(xiāo)電話、23條廣告短信。沒(méi)錯(cuò),他的個(gè)人信息被泄露了!無(wú)語(yǔ)吧?這種問(wèn)題不僅僅出現(xiàn)在搜索引擎身上,所有使用HTTP明文傳輸?shù)恼军c(diǎn),都存在這一風(fēng)險(xiǎn)。
而HTTPS的這個(gè)小“S”您可以把它理解為一把“鎖”。
以前如果用戶(hù)訪問(wèn)百度,百度會(huì)給用戶(hù)一個(gè)搜索結(jié)果,在這個(gè)過(guò)程中所有的信息傳輸全都是明文的,所以“中間人”,比如運(yùn)營(yíng)商、公司的網(wǎng)管,他完全能知道你傳了什么內(nèi)容,你搜了什么詞匯——是不是很沒(méi)有隱私的趕腳?
沒(méi)辦法,其實(shí)網(wǎng)絡(luò)世界就是這樣滴。
其實(shí)這時(shí)候對(duì)百度也是一種傷害:如果內(nèi)容不加密,數(shù)據(jù)在從百度發(fā)往用戶(hù)的過(guò)程中就有可能被篡改,或者加點(diǎn)廣告……什么的,從而損害百度的品牌利益。
全部改成HTTPS以后(包括后期無(wú)線端的落地),用戶(hù)傳輸?shù)臄?shù)據(jù)就不是明文的了。百度返回的內(nèi)容呢,除了該用戶(hù)外也沒(méi)有人知道——就是加密傳輸了。不僅不能被“中間人”讀取,也不能被篡改。
ok,有人肯定會(huì)說(shuō),那百度知道啊,百度會(huì)不會(huì)泄露,在這個(gè)問(wèn)題上,我只能說(shuō),如果百度想泄露的話,那他們就不必搞這個(gè)加密的項(xiàng)目HTTPS了——不搞這個(gè)加密項(xiàng)目,出了事盡可以往“中間人”環(huán)節(jié)上推諉,加了這個(gè)項(xiàng)目再有泄露,不就百度一家可以懷疑了么?
第二個(gè)問(wèn)題,從HTTP到HTTPS要付出多大成本?
這是個(gè)關(guān)鍵問(wèn)題——成本,你愿意花多少錢(qián)來(lái)保護(hù)用戶(hù)隱私呢?俺聽(tīng)說(shuō)的是,要加上這個(gè)“S”,第一是錢(qián),第二是人,第三是服務(wù)器。
錢(qián)的成本自然不必多說(shuō),據(jù)說(shuō)百度為此投入了數(shù)千臺(tái)服務(wù)器,上億元的成本。當(dāng)然,不僅僅是錢(qián),技術(shù)難度也相當(dāng)大,相當(dāng)于百度把整個(gè)搜索的元素進(jìn)行了HTTPS的改寫(xiě),為了保證用戶(hù)的搜索響應(yīng)速度,還需要大量技術(shù)優(yōu)化。甚至還有一個(gè)體力活,就是百度需要把所有網(wǎng)頁(yè)元素做一個(gè)改造,這需要很多人來(lái)做,把整個(gè)百度搜索的主域改成HTTPS,且要把主域上所有的子域改成https。這就需要推動(dòng)全公司數(shù)十個(gè)產(chǎn)品線一起進(jìn)行更改。
百度其實(shí)從很早就開(kāi)始布局做這件事了,背后有著對(duì)眾多技術(shù)難題的攻克,從搜索基礎(chǔ)架構(gòu)調(diào)試,到全部主域及子域名的修改,再到速度的優(yōu)化,最終解決了困擾多年的中間者劫持問(wèn)題,這半年來(lái)投入的程序猿、攻城獅加起來(lái)得有上百人,而且一共有二十多個(gè)產(chǎn)品線在做這件事。作為互聯(lián)網(wǎng)巨頭,百度做全站HTTPS這件事,真真體現(xiàn)了它強(qiáng)大的技術(shù)實(shí)力啊。
第三,如果百度HTTPS了,整個(gè)行業(yè)怎樣?
這個(gè)HTTPS肯定是百度搜索生態(tài)安全的其中的非常重要的一環(huán)。百度后面推安全搜索,進(jìn)而可以在說(shuō)影響整個(gè)中國(guó)互聯(lián)網(wǎng)。
或者說(shuō),那些非HTTPS的網(wǎng)站,百度會(huì)不會(huì)不給他們傳用戶(hù)隱私相關(guān)的信息了?而那些采用了HTTPS的網(wǎng)站,百度或?qū)?huì)給他們?cè)谂判蛏线M(jìn)行加權(quán),這對(duì)站長(zhǎng)的吸引力是非常大滴呦,畢竟搜索引擎是大部分網(wǎng)站的最大入口。
其實(shí),我們更期待看到在百度之后,更多的企業(yè)一起去推進(jìn)完成HTTPS化的過(guò)程,在百度的帶領(lǐng)下,希望中國(guó)互聯(lián)網(wǎng)全站HTTPS的那一天會(huì)更快的到來(lái)。
京公網(wǎng)安備 11010502049343號(hào)