张智伟
基于开源项目的Chrome浏览器,计划从2017年1月推出的Chrome 56开始,对不加密的网址链接进行更加主动的安全风险提示。
从技术上理解,许多网站在建立之初就采用的是HTTP数据传输协议。这种协议不会校验用户访问主机(host server)的真实性,也不支持对数据传输过程进行加密。
黑客和别有用心的网络窃听者很容易利用这个漏洞,获取一些比较机密的个人信息,比如电话号码、信用卡账号、密码等等。
而HTTPS协议是在HTTP的基础上加入安全认证和算法加密功能,从概率上大大降低了用户被网络劫持或窃听的可能性。
HTTP和HTTPS 图解
从 Chrome 56这个版本开始,Google 支持的这款浏览器将把不使用 HTTPS 协议的网站和页面标记为不安全(Not secure),如下图所示。
在其后的版本中,Chrome 浏览器会逐渐增加安全风险提示的醒目程度。如果网站坚持不使用 HTTPS,或者 HTTPS 协议损坏,那么地址栏就会出现一个带有叹号的红色三角标识。
但凡遇到这种标识的网页,最好不要在上面填写任何跟财产相关的个人信息,比如信用卡账号和密码。
目前,HTTP 这种不加密协议仍然被大量网站使用,其中新闻类和视频类网站最为常见。《好奇心日报》的官网也在使用 HTTP。
对于电商类网站,因为涉及大量用户线上交易,HTTPS 协议不可或缺。但根据《好奇心日报》记者了解,国内主流的电商网站对 HTTPS 的使用比率不尽相同。
京东、当当、苏宁等电商网站的首页和商品详情页都没有使用 HTTPS,只有用户登录和付款页面采用了这个安全协议。
淘宝和京东首页 HTTPS 的有无
而天猫和淘宝的策略不同,这两个站点的首页和登录页都采用了 HTTPS,淘宝的商品详情页仍然采用 HTTP 传输数据,而天猫详情页虽然是 HTTPS,但页面包含了某些经由 HTTP 传输的信息。
出于安全的考虑,Chrome 还是谨慎地把这些页面标记成了不安全。
相比起来,亚马逊(amazon.cn)可能更重视安全问题,它在全站所有网页上都使用了 HTTPS。
其它类型网站对 HTTPS 的应用差别更大,比如百度、豆瓣、知乎都在全站使用了这项协议,而成立了7年的微博(weibo.com)直到今天还在用风险巨大的 HTTP。
虽然 Chrome 本身的安全性已经非常强,但在访问那些不经加密的 HTTP 网站时,还是要小心为妙。
题图:Dbta
