浅谈从百度的全站https谈互联网的安全问题
最近互联网的安全问题被多次提起,在刚刚过去的3.15晚会上曾对免费wifi的安全问题进行报道和曝光,同时各大网站也在报道百度推出的全站https,但是很少有网站能够把https用最简单的话或者图文解释清楚,这看起来是一个技术问题,但是却和我们每个人的隐私息息相关,所以在这里有必要多了解下。我们每天使用互联网,通过浏览器在网页上的所有操作行为都会通过http协议进行传输,这种传输是没有加密的,简单说就是你在浏览器的上网记录,这些信息是可以在传输的过程中被截取的,所以就存在着一定的不安全性。那么,百度这次是的https就是一种加密协议,即使在传输的过程中被截取,也是加密的形式,所以被截取的信息都是无用的数据。用最简单的例子,假设我们在百度中搜索某个词,点击提交查询后,要等到数据的返回,如下图a所示,如果是采用https协议传输,那么有经过步骤1-5所示的加密过程,可以保证在数据返回的过程中不会被截取,如下图b所示,如果是采用http协议的,则是直接进行数据传输,那么数据在返回的过程中可能被截取,这些数据被截取后就可以被他人所有。
第一,https一般在哪些情况下比较常使用?一般情况下,https协议会应用在哪些对安全性级别比较高的网站当中,例如资金交易类网站,如支付宝、财付通、各大银行的网银等,如下图,很少网站使用全站https的,像淘宝和腾讯qq都没有使用https,如下图,百度这次的举措是个例外,率先开始采用了全站https,可以说,百度的这个技术优化很多用户是没有直接或太大的感知的,但是那些试图通过通过百度搜索引擎截取用户隐私的人可能就无法再次得逞了。
其次,百度的全站https可以有效避免网络信息劫持。所谓的网络信息劫持,举个例子,a用户在搜索引擎中搜索某个关键词,结果没过几分钟就收到了广告短信和垃圾邮件,甚至还有营销电话,开始的时候没注意,再搜索其他关键词的时候,还出现了其他相关的广告短信,很明显这就是用户的信息泄露了,也就是说所有使用http传输的站点都可能存在这种信息被劫持的风险。当网站的浏览器返回数据使用https后,用户传输的数据就是加密的了。
第三,从http到https将增加服务成本。百度作为最大的中文搜索引擎服务商,这次从http升级到https,毫无疑问,是要花费不少的成本,这个成本包括硬件成本、人力成本和资金成本,技术上的改革需要相应的硬件投入,同时,从原先的http升级到https需要大量的工作量和解决大量的技术问题。但是从长远的角度上来说,百度作为一个互联网企业,以技术为立足点是毋庸置疑的,同时利用这次的技术升级,可以以“保障用户的安全隐私”作为亮点来进一步推广百度搜索引擎。
第四,百度的全站https将互联网的安全性提到更高的位置。百度的这次全站https可以说是一个引领者,也会是互联网安全搜索领域的一步棋,以后发展下来,是不是百度要对收录的网站进行更高的安全级别验证,是否是也都需要加入https的站点才能被显示在搜索排名中,或者被收录的网站带有https的将会提升排名权重,这些都只是猜测。但是,百度的全站https应该让更多的企业,尤其是互联网企业更加注重互联网安全问题,关注所有用户的隐私,只有这样互联网才能朝着更加良好的生态环境发展,“无安全,不健康”,同样适应互联网行业。
本文由激光切割机原创,如有转载请注明出处,谢谢!