流量劫持背后:Google 在用「看不见」的方式保护你的隐私安全

摘要

一年前全球前 100 的网站中只有 37 个默认使用 https,而现在这个数字已经上升为 71 个。

当你一次次在不同的网站输入自己的账号密码、身份证号、银行卡号时,有没有考虑过:「这安全吗?」可能对于大多数人来讲,我们无法得知自己的数据会在何时、以何种方式泄露,但至少应该知道——我要访问的网站是否值得信任。

去年 9 月,Google 宣布在 Chrome 中将所有未通过 https 加密的网站标记为「不安全」。用户在加载网页时,地址栏左侧的图标会提示安全状态,如果是 https 打头的网页会显示绿色的小锁,代表网页「相对安全」,http 打头的网页则会提示「不安全」或者「危险」。


这样做是为了帮助用户以更安全的方式浏览网页,但同时也在督促网站转向 https 模式。


身份验证、数据加密:可不止加个「s」那么简单

当我们有越来越多个人信息和财产安全牵扯到网络时,http 的安全隐患也愈发显眼。

我们浏览网页是通过和网站间的数据传输实现的,http 提供了统一的标准来规范这种行为。http 在设计之初,更多是考虑传输速度和效率,所以传输过程中所有数据使用的都是明文,也并没有对传输双方的身份进行验证,信息很容易被获取甚至篡改,这给用户的上网行为带来安全隐患。

明文信息在传输过程中要经过运营商、路由器、Wi-Fi 热点等多个环节,每一层数据都有被泄露的可能。很多人都遇到过网站被劫持的情况,最常见的就是网页间弹出的小广告,这就是明文信息在传输过程中被进行了篡改。一些流氓软件、网站用流量劫持的方式来进行恶意推广。

流量劫持只是明文信息传输的危害之一,更严重的后果是泄露用户隐私。比如当你在网购时输入银行卡号、密码等信息,没有经过加密的数据就像仍在路边的 iPhone X,在有一定技术手段的黑客面前简直就是唾手可得。


在 http 的基础上,https 增加了身份验证和数据加密来保证传输安全,简单来说,https 就是安全版的 http。网站在收到用户的访问请求后,会首先发送证书和一对密钥给浏览器,一个用作加密,另一个用作解密,浏览器在认证网站可信之后,才会把加密过的信息传输给网站。有了认证和加密的 https 保证了数据的安全:除了传输的双方,第三方无从获得和更改数据。

对于网站来说,经过加密的网页可以防止被恶意劫持,而对于用户,https 保证了自己的数据不被泄露。


明文信息不够安全,转「https」成大势所趋

https 协议在 1994 年就已经推出,但一直未得到广泛的应用,因为加密的数据无法像明文信息一样快速传输,使用 https 会让访问速度变慢。

在 https 的推行上,Google 是先驱者。2010 年初,Gmail 全面默认以 https 访问,Google 提到:「我们在安全和速度之间找到了一个折中的方案」,默认使用 https 的 Gmail 保护了用户的数据不被第三方获取。同年 5 月份,Google 宣布将 https 的启用范围扩大到整个「Google 搜索」,用户的搜索内容不会再被第三方获取或阻止。

2016 年,Google 宣布在 Chrome 浏览器中将所有未通过 https 加密的网站标记为「不安全」,这是 Google 全面向 http 说「不」的开始。随后,苹果在 WWDC 2016 大会上也宣布了一项针对隐私安全保护的政策:「苹果将对 Apple Store 中的所有应用启用 ATS(App Transport Security:应用程序安全传输)功能,强制通过 https 连接,如果开发者在 2017 年 1 月 1 日仍然采用 http,应用将无法下载。」在国内,微信年初推出的小程序也要求全部采用 https 协议。对开发者来说,部署 https 已经成为大势所趋。


Google 全面推行 https 一年,已经取得一些明显的成效。从 Google 的报告中可以看到,一年前全球前 100 的网站中只有 37 个默认使用 https,而现在这个数字已经上升为 71 个。

近两年,国内很多网站也开始转向 https。2015 年,百度启用全站 https 加密,搜索结果的内容不会再被第三方路由器或浏览器篡改。2016 年,直播平台斗鱼全站升级到 https,弹幕中的恶意攻击、广告得到了抑制。新浪微博、B 站也都陆续启用 https。

对于访问量、用户量巨大的网站来说,由 http 转 https 并不是个小工程,前期要付出的成本、压力、技术要求是很高的。在推行过程中,Google、苹果这样具有平台效应的企业所付出的努力至关重要。对于这些「先行者」来说,前期可能并不会获得明显的成效,但对行业未来而言,技术革新作用巨大。


巨头推动,再主流的技术也要走下神坛

与「抛弃」http 很像的一个例子是 Flash 的退出。最早 Adobe Flash Player 以节省带宽的特点成为网页中广告、动画的常用格式,但它本身的诸多限制和信息安全问题越来越受人诟病。2010 年,乔布斯发表了一篇「对 Flash 的思考」的文章,指出随着 HTML5 的发展,Adobe Flash 在网页中变得可有可无。关于乔布斯个人与 Adobe 的矛盾当然也是拒绝 Flash 的原因之一,但 Flash 耗电、不安全等本身存在的问题才是其「被淘汰」的主因。苹果、Facebook、Google、微软等公司相继弃用 Flash,今年 7 月份,Adobe 宣布将于 2020 年 12 月 30 日停止更新和发行 Flash Player。

图片来源:Wccftech

从长远的时空角度看,http、Flash 从神坛下落都是必然,但如果没有大企业的「推动」,新技术的革新可能没有那么快。Google 添加「不安全」提示,苹果弃用 Flash,对大多数用户来说根本感受不到。

旧规则被替代,其本身问题暴露是主因,新技术出现是外部因素,在此之上,大公司的推动才是「压死骆驼的最后一根稻草」。

(关于 Google 全面启用 https 的契机,其实还有另一段更深的「传说」,感兴趣可以到 Gmail 的维基百科页面查看。)

编辑:早优夫斯基

打开极客公园App阅读更多内容

最新文章

极客公园

用极客视角,追踪你最不可错过的科技圈。

极客之选

新鲜、有趣的硬件产品,第一时间为你呈现。

顶楼

关注前沿科技,发表最具科技的商业洞见。