Jan 24, 2017 6 min read

看到网址前的小叹号，隐私就处在危险的境地

过年回家，多和亲人普及安全知识，以免在国内复杂的网络环境下，被流氓和骗子伤害。今天我们聊聊 HTTPS，以及谷歌在推进网络安全方面的努力。

每次到春节临近的时候，大家都会被提醒，要提高安全警惕注意安全。除了现实中我们面对很多“有趣的”骗子，网络中的流氓骗子也不少。

我们浏览网站的时候，就面临各种“高科技”欺诈手段。例如钓鱼网站、网站劫持、木马和病毒等。其中，流量劫持 总是游走在灰色地带，不少有头有脸的公司背地里也会用这样的手段牟利。

当你看到 Chrome 网址旁边出现了小叹号，一定不要输入自己重要的银行卡和账号密码。小叹号的出现，意味着与网站之间的连接是不安全的。网银，重要的邮箱服务，账号管理，都不应该出现小叹号。

网址旁边的小叹号提示站点仍在使用不安全的 HTTP 协议。

什么是 HTTPS，作用是什么？

如果网站仍然使用 HTTP，传输数据是不加密的，在数据流经的节点上网页内容就可能被其他人修改，植入恶意的代码和广告。

本来你访问网页A，中间人可以将一段恶意代码添加到网页A中，甚至用另一个网页B来替代原本你要访问的网站。

这项手段可以做极端的坏事，例如盗取你的账号密码，对财产直接造成损害。也能做一些“灰色”的变现收入，例如在他人网站上加广告，而网站的主人却不知情。如果你是联通用户，相信你对中国联通流量劫持，在他人网页中加广告已经恨之入骨。

HTTPS 相比 HTTP 多了一个 Secure，就是为了解决上面提到的 HTTP的局限。HTTPS 可以为我们提供：

用送信来举例，简单解释上面三个特性：确保给你送信的就是你认识的那个写信人（身份验证），并且信的内容是没有被篡改的（完整性），中间也没有人偷看（机密性）。

根据 Google 自己的统计，HTTPS 的推广已经取得阶段性胜利，切换到 HTTPS 的网站在不断增长。到目前为止，使用 Chrome 桌面端的用户所访问的流量，已经有一半都使用了 HTTPS。

Google 还发布了“各大热门网站的 HTTPS 实施情况”报告，督促这些站点尽快使用安全的 HTTPS 连接。有趣的是一直宣称自己是中国第一大安全公司的 360.cn 出现在热门站点的头一个，并未使用 HTTPS。

为了让用户浏览网页更佳安全，Chrome 很早就在地址栏前方显示连接站点的安全性提示。但之前 Chrome 并不会将 HTTP 连接的站点标记为“不安全”站点，只是有一个灰色的感叹号提示可能的风险。

从 2017年1月开始，Chrome 56 版本将修改安全提示，针对收集用户密码或信用卡却仍在使用 HTTP 的网站，标记为“不安全”站点。

灰色感叹号的图标旁边，将加入文字提示。从设计中我们可以看到，目前 Chrome 仍然给 HTTP 连接的站点中性的提示。Chrome 团队认为这样是不够的，中性提示并不能反映出 HTTP 连接的安全风险。

用户研究发现，灰色感叹号提示并不足以让用户理解站点是不安全的，同时用户也会对过于频繁出现的警告麻木。Chrome 计划未来强化不安全 HTTP 站点的提示，在地址栏使用醒目红色的标记。

在不久后版本中“隐身模式”下，就将采用红色来标记“不安全”的提示。因为“隐身模式”场景下，用户期望就是最大程度保护隐私。最终，Chrome 可能会对所有的 HTTP 站点都进行红色标记。

所有的站点未来都应该默认使用 HTTPS。

几个月前我写过一篇如何使用免费的 HTTPS 证书提供商 Let's Encrypt 的教程，这篇文章获得了非常高的关注和流量，也是目前所有个人网站切换到 HTTPS 最全面的教程，希望对大家有帮助。

在国内复杂的网络环境下，需要时刻保持警惕。鼓励大家对象亲人、老人普及安全知识，拒绝流氓骗子。

（完）

明学的白板微信二维码

Stuff I Learned Yesterday 系列文章与你分享科技、设计、娱乐有关的话题。欢迎关注、打赏和转载。

最后：人在网上飘，哪能不挨骗。你是否有网络被骗或识破骗局的经历？欢迎留言和大家聊聊，造福大家。