明文傳輸不再，HTTP數(shù)據(jù)在網(wǎng)絡(luò)上形同裸奔

眾所周知，HTTP協(xié)議屬于明文傳輸協(xié)議，是一種基于請求和響應(yīng)模式的、無狀態(tài)的、應(yīng)用層的協(xié)議，明文傳輸?shù)娜毕菔菍?dǎo)致數(shù)據(jù)泄露、篡改、流量劫持和釣魚攻擊等安全問題的重要原因。其交互過程以及數(shù)據(jù)傳輸都無法進(jìn)行加密，通信雙方也缺乏認(rèn)證，通信過程遭遇劫持、監(jiān)聽、篡改甚至是賬戶隱私泄露的幾率極大。因此，HTTP協(xié)議的存在，讓所有通信數(shù)據(jù)在網(wǎng)絡(luò)中形同裸奔，不法者只需要通過些許技術(shù)手段就能全面還原HTTP報(bào)文數(shù)據(jù)。

隨著智能設(shè)備的更新迭代和移動(dòng)網(wǎng)絡(luò)的大面積普及，進(jìn)一步放大了網(wǎng)絡(luò)數(shù)據(jù)被劫持和篡改的風(fēng)險(xiǎn)。目前，以流量劫持和數(shù)據(jù)販賣為主的灰色產(chǎn)業(yè)鏈日臻成熟，即便是技術(shù)后臺(tái)強(qiáng)硬的知名互聯(lián)網(wǎng)企業(yè)也依舊存在流量劫持或篡改的可能。大數(shù)據(jù)互聯(lián)網(wǎng)時(shí)代，個(gè)人信息安全尤為重要，特別是電信詐騙等事件的逐年增加的大環(huán)境之下，國家、企業(yè)和個(gè)人對于網(wǎng)絡(luò)安全更加重視，自16年谷歌瀏覽器安全隊(duì)伍將存在安全風(fēng)險(xiǎn)的普通HTTP網(wǎng)站標(biāo)記為不安全之后，HTTP網(wǎng)站開始沒落…….

HTTPS多得不僅僅是“S”!

相比于沒有加密的HTTP網(wǎng)站，新型的通過SSL證書認(rèn)證的https加密網(wǎng)站成為了眾多企業(yè)的首選。HTTPS相較于HTTP引入了加密和身份驗(yàn)證體制，使用HTTPS加密協(xié)議傳輸?shù)木W(wǎng)站，能夠激活客戶端瀏覽器和網(wǎng)站服務(wù)器之間的SSL加密協(xié)議，實(shí)現(xiàn)高強(qiáng)度雙向加密傳輸，傳輸內(nèi)容被劫持和篡改的可能性降到了最低。

作為已安全為目標(biāo)的HTTP通道，HTTPS則是在HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL。HTTPS協(xié)議中身份認(rèn)證的部分是由CA數(shù)字證書承擔(dān)的，在客戶端發(fā)起SSL請求后，服務(wù)端會(huì)將數(shù)字證書發(fā)給客戶端，客戶端對證書進(jìn)行驗(yàn)證，進(jìn)而獲取對稱密鑰交換的非對稱密鑰。其中HTTPS和HTTP的主要區(qū)別在于：

1. https協(xié)議需要申請CA數(shù)字證書;

2. HTTP是明文傳輸，而HTTPS則是具有安全性的SSL加密傳輸協(xié)議;

3. HTTP和HTTPS使用完全不同的連接方式，用的端口也不一樣，前者是80端口，后者則是443;

4. HTTP屬于無狀態(tài)連接，HTTPS是由SSL+HTTP協(xié)議構(gòu)建的集加密傳輸、身份認(rèn)證為一體的網(wǎng)絡(luò)協(xié)議;

啟用HTTPS就徹底安全嗎?

近兩年來，谷歌一直致力于推廣網(wǎng)站采用HTTPS協(xié)議，認(rèn)為只有HTTPS協(xié)議方能更好的保護(hù)用戶數(shù)據(jù)。近日谷歌宣布，將在7月發(fā)布的Chrome68中將所有HTTP網(wǎng)站標(biāo)記為不安全，并計(jì)劃在Google搜索結(jié)果中減低HTTP網(wǎng)站的權(quán)重和排名。網(wǎng)絡(luò)傳輸協(xié)議經(jīng)歷了巨大的變革，但是，這是否意味著HTTPS就徹底安全了呢?事實(shí)并不像想象中的那么簡單，網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程，涉及到個(gè)人計(jì)算機(jī)安全、協(xié)議、傳輸數(shù)據(jù)和軟件開發(fā)公司等一系列參與者，單純的依靠一個(gè)HTTPS協(xié)議并不能解決所有問題，但HTTPS協(xié)議依舊可以讓網(wǎng)站安全性大大提升。

事實(shí)上，HTTPS協(xié)議的加密范圍極其有限，在黑客攻擊、服務(wù)器劫持等方面起不到任何決定性的作用，事實(shí)上，安全領(lǐng)域?qū)TTPS一直存在另外一種態(tài)度，某部分觀點(diǎn)認(rèn)為，互聯(lián)網(wǎng)上有很大一部分內(nèi)容是存檔性質(zhì)的網(wǎng)站，并沒有手機(jī)數(shù)據(jù)和用戶互動(dòng)的需求，是否啟用HTTPS根本無關(guān)緊要。如果網(wǎng)站屬于宣傳類網(wǎng)站、分類信息網(wǎng)站等不要求用戶登錄的網(wǎng)站，大可不必使用HTTPS協(xié)議。此外，HTTPS的安全保護(hù)依賴于瀏覽器的正確實(shí)現(xiàn)以及服務(wù)器軟件和實(shí)際加密算法的支持，任何安全技術(shù)都不會(huì)是絕對可靠的，它也并非真的安全。

小結(jié)

盡管HTTPS安全性比HTTP強(qiáng)，能夠保證客戶端和網(wǎng)站間通信加密，但也無法單憑這HTTPS去判斷一個(gè)網(wǎng)站是否安全。在點(diǎn)擊某個(gè)鏈接之前，即使Chrome將這個(gè)鏈接標(biāo)記為“安全”，是HTTPS訪問的網(wǎng)站，我們也仍然要親自檢查鏈接的有效性以及地址中的單詞拼寫是否存在錯(cuò)誤等因素，盡管瀏覽器和證書說它是安全的，HTTPS絕不能與合法安全相提并論，世界上沒有任何技術(shù)是完全可靠的，我們所處的網(wǎng)絡(luò)世界，從來就不是刀槍不入的安全島，任何人、任何事都有可能是錯(cuò)誤的，防范之心從不應(yīng)該被忽略!