看到网址前的小叹号,隐私就处在危险的境地

过年回家,多和亲人普及安全知识,以免在国内复杂的网络环境下,被流氓和骗子伤害。今天我们聊聊 HTTPS,以及谷歌在推进网络安全方面的努力。

每次到春节临近的时候,大家都会被提醒,要提高安全警惕注意安全。除了现实中我们面对很多“有趣的”骗子,网络中的流氓骗子也不少。

我们浏览网站的时候,就面临各种“高科技”欺诈手段。例如钓鱼网站、网站劫持、木马和病毒等。其中,流量劫持 总是游走在灰色地带,不少有头有脸的公司背地里也会用这样的手段牟利。

当你看到 Chrome 网址旁边出现了小叹号,一定不要输入自己重要的银行卡和账号密码。小叹号的出现,意味着与网站之间的连接是不安全的。网银,重要的邮箱服务,账号管理,都不应该出现小叹号。

网址旁边的小叹号提示站点仍在使用不安全的 HTTP 协议。

什么是 HTTPS,作用是什么?

如果网站仍然使用 HTTP,传输数据是不加密的,在数据流经的节点上网页内容就可能被其他人修改,植入恶意的代码和广告。

本来你访问网页A,中间人可以将一段恶意代码添加到网页A中,甚至用另一个网页B来替代原本你要访问的网站。

这项手段可以做极端的坏事,例如盗取你的账号密码,对财产直接造成损害。也能做一些“灰色”的变现收入,例如在他人网站上加广告,而网站的主人却不知情。如果你是联通用户,相信你对中国联通流量劫持,在他人网页中加广告已经恨之入骨。

HTTPS 相比 HTTP 多了一个 Secure,就是为了解决上面提到的 HTTP的局限。HTTPS 可以为我们提供:

  • 机密性(confidentiality)
  • 完整性(integrity)
  • 身份验证(authentication)

用送信来举例,简单解释上面三个特性:确保给你送信的就是你认识的那个写信人(身份验证),并且信的内容是没有被篡改的(完整性),中间也没有人偷看(机密性)。

HTTPS 已取得阶段性胜利

根据 Google 自己的统计,HTTPS 的推广已经取得阶段性胜利,切换到 HTTPS 的网站在不断增长。到目前为止,使用 Chrome 桌面端的用户所访问的流量,已经有一半都使用了 HTTPS

Google 还发布了“各大热门网站的 HTTPS 实施情况”报告,督促这些站点尽快使用安全的 HTTPS 连接。有趣的是一直宣称自己是中国第一大安全公司的 360.cn 出现在热门站点的头一个,并未使用 HTTPS。

Chrome 浏览器加大安全提示力度

为了让用户浏览网页更佳安全,Chrome 很早就在地址栏前方显示连接站点的安全性提示。但之前 Chrome 并不会将 HTTP 连接的站点标记为“不安全”站点,只是有一个灰色的感叹号提示可能的风险。

从 2017年1月 开始,Chrome 56 版本将修改安全提示,针对收集用户密码或信用卡却仍在使用 HTTP 的网站,标记为“不安全”站点

灰色感叹号的图标旁边,将加入文字提示。从设计中我们可以看到,目前 Chrome 仍然给 HTTP 连接的站点中性的提示。Chrome 团队认为这样是不够的,中性提示并不能反映出 HTTP 连接的安全风险。

未来对非HTTPS站点将醒目提示

用户研究发现,灰色感叹号提示并不足以让用户理解站点是不安全的,同时用户也会对过于频繁出现的警告麻木。Chrome 计划未来强化不安全 HTTP 站点的提示,在地址栏使用醒目红色的标记

在不久后版本中“隐身模式”下,就将采用红色来标记“不安全”的提示。因为“隐身模式”场景下,用户期望就是最大程度保护隐私。最终,Chrome 可能会对所有的 HTTP 站点都进行红色标记

所有的站点未来都应该默认使用 HTTPS。

网站所有者行动起来

几个月前我写过一篇如何使用免费的 HTTPS 证书提供商 Let's Encrypt  的教程,这篇文章获得了非常高的关注和流量,也是目前所有个人网站切换到 HTTPS 最全面的教程,希望对大家有帮助。

网站切换 HTTPS 教程:https://ksmx.me/letsencrypt-ssl-https/ - 《Let's Encrypt 给网站加 HTTPS 完全指南》

在国内复杂的网络环境下,需要时刻保持警惕。鼓励大家对象亲人、老人普及安全知识,拒绝流氓骗子。

(完)


Stuff I Learned Yesterday 系列文章与你分享科技、设计、娱乐有关的话题。欢迎关注、打赏和转载。

最后:人在网上飘,哪能不挨骗。你是否有网络被骗或识破骗局的经历?欢迎留言和大家聊聊,造福大家。