前言
一直想寫一個關(guān)于網(wǎng)頁安全的矛物,因為平時網(wǎng)上注冊付款右遭,還是打開一些網(wǎng)站連接我都非常小心长豁,一定要看看網(wǎng)頁上有沒有一把綠色的鎖.由此來辨別網(wǎng)站的真假和安全.如果某個網(wǎng)站要求你填寫個人信息吮旅,卡號等真實信息. 首先你要檢查該網(wǎng)頁是否使用 https 加密連接生宛,如果沒有亿柑,那么請不要輸入任何敏感信息尤其是卡號 密碼等
HTTPS是什么邢疙?
HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協(xié)議,在說HTTPS之前先說說什么是HTTP,HTTP就是我們平時瀏覽網(wǎng)頁時候使用的一種協(xié)議望薄。HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的疟游,也就是明文的,因此使用HTTP協(xié)議傳輸隱私信息非常不安全痕支。為了保證這些隱私數(shù)據(jù)能加密傳輸增加安全性颁虐,HTTPS橫空出世,1994年Netscape公司設(shè)計了SSL(Secure Sockets Layer)協(xié)議用于對HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密卧须,從而就誕生了HTTPS.
簡單說:HTTPS = HTTP + SSL ?(HTTPS 在 HTTP 應(yīng)用層的基礎(chǔ)上使用安全套接字層作為子層)
HTTPS與?http區(qū)別
HTTPS 原理介紹
HTTP 和 TLS 在協(xié)議層的位置以及 TLS 協(xié)議的組成如下圖:
HTTPS 目前唯一的問題就是它還沒有得到大規(guī)模應(yīng)用另绩,受到的關(guān)注和研究都比較少。至于使用成本和額外開銷花嘶,完全不用太過擔(dān)心笋籽。
一般來講,使用 HTTPS 前大家可能會非常關(guān)注如下問題:
1.在哪里購買https證書,費用貴嗎
需要通過代理機構(gòu)到合法的第三方CA機構(gòu)申請購買,證書其實不貴,而且現(xiàn)在也有了免費的證書機構(gòu)椭员,對于中小網(wǎng)站可以使用便宜甚至免費的數(shù)字證書服務(wù)(可能存在安全隱患)车海,像著名的 verisign 公司的證書一般也就幾千到幾萬塊一年不等。當(dāng)然如果公司對證書的需求比較大隘击,定制性要求高侍芝,可以建立自己的 CA 站點研铆,比如 google,能夠隨意簽發(fā) google 相關(guān)證書州叠。
2.https缺點
https消耗 CPU 資源棵红,需要增加大量機器。前面介紹過非對稱密鑰交換留量,這是消耗 CPU 計算資源的大戶窄赋,此外哟冬,對稱加解密楼熄,也需要 CPU 的計算。對于當(dāng)代CPU來說浩峡,這點開銷不值一提可岂。
只要合理優(yōu)化,https的機器成本也不會明顯增加翰灾。對于中小網(wǎng)站缕粹,完全不需要增加機器也能滿足性能需求。比如現(xiàn)在打開百度和淘寶有感覺比以前慢嗎.阿里技術(shù)團(tuán)隊說比http還快了. 那缺點也就是增加了成本.
誤區(qū)
https的安全保護(hù)依賴瀏覽器的正確實現(xiàn)以及服務(wù)器軟件纸淮、實際加密算法的支持.
一種常見的誤解是“銀行用戶在線使用https就能充分徹底保障他們的銀行卡號不被偷竊平斩。”實際上咽块,與服務(wù)器的加密連接中能保護(hù)銀行卡號的部分绘面,只有用戶到服務(wù)器之間的連接及服務(wù)器自身。并不能絕對確保服務(wù)器自己是安全的侈沪,這點甚至已被攻擊者利用揭璃,常見例子是模仿銀行域名的釣魚攻擊。少數(shù)罕見攻擊在網(wǎng)站傳輸客戶數(shù)據(jù)時發(fā)生亭罪,攻擊者會嘗試竊聽傳輸中的數(shù)據(jù)瘦馍。
商業(yè)網(wǎng)站被人們期望迅速盡早引入新的特殊處理程序到金融網(wǎng)關(guān),僅保留傳輸碼(transaction number)应役。不過他們常常存儲銀行卡號在同一個數(shù)據(jù)庫里情组。那些數(shù)據(jù)庫和服務(wù)器少數(shù)情況有可能被未授權(quán)用戶攻擊和損害。
全站https的到來
在海外箩祥,有數(shù)據(jù)統(tǒng)計院崇,HTTPS流量已超過全網(wǎng)50%。相比國外而言滥比,我國的HTTPS普及率還比較低亚脆,僅在支付、賬號等領(lǐng)域有限的安全保護(hù)已無法滿足網(wǎng)民需求盲泛。能否助力HTTPS在中國的進(jìn)程濒持,就要看像百度阿里這樣起示范作用的大公司的推動效應(yīng)了键耕。
