热门资讯> 流量劫持背后:Google 在用「看不见」的方式保护你的隐私安全 >

流量劫持背后:Google 在用「看不见」的方式保护你的隐私安全

转载时间:2022.01.15(原文发布时间:2017.10.26)
53
转载作者:36氪企服点评小编
阅读次数:53次

编者按:本文转载自“极客公园”(ID:geekpark),作者 刘丢丢,36氪经授权发布。

当你一次次在不同的网站输入自己的账号密码、身份证号、银行卡号时,有没有考虑过:「这安全吗?」可能对于大多数人来讲,我们无法得知自己的数据会在何时、以何种方式泄露,但至少应该知道——我要访问的网站是否值得信任。

去年 9 月,Google 宣布在 Chrome 中将所有未通过 https 加密的网站标记为「不安全」。用户在加载网页时,地址栏左侧的图标会提示安全状态,如果是 https 打头的网页会显示绿色的小锁,代表网页「相对安全」,http 打头的网页则会提示「不安全」或者「危险」。

流量劫持背后:Google 在用「看不见」的方式保护你的隐私安全这样做是为了帮助用户以更安全的方式浏览网页,但同时也在督促网站转向 https 模式。

身份验证、数据加密:可不止加个「s」那么简单

当我们有越来越多个人信息和财产安全牵扯到网络时,http 的安全隐患也愈发显眼。

我们浏览网页是通过和网站间的数据传输实现的,http 提供了统一的标准来规范这种行为。http 在设计之初,更多是考虑传输速度和效率,所以传输过程中所有数据使用的都是明文,也并没有对传输双方的身份进行验证,信息很容易被获取甚至篡改,这给用户的上网行为带来安全隐患。

明文信息在传输过程中要经过运营商、路由器、Wi-Fi 热点等多个环节,每一层数据都有被泄露的可能。很多人都遇到过网站被劫持的情况,最常见的就是网页间弹出的小广告,这就是明文信息在传输过程中被进行了篡改。一些流氓软件、网站用流量劫持的方式来进行恶意推广。

流量劫持只是明文信息传输的危害之一,更严重的后果是泄露用户隐私。比如当你在网购时输入银行卡号、密码等信息,没有经过加密的数据就像扔在路边的 iPhone X,在有一定技术手段的黑客面前简直就是唾手可得。

流量劫持背后:Google 在用「看不见」的方式保护你的隐私安全

在 http 的基础上,https 增加了身份验证和数据加密来保证传输安全,简单来说,https 就是安全版的 http。网站在收到用户的访问请求后,会首先发送证书和一对密钥给浏览器,一个用作加密,另一个用作解密,浏览器在认证网站可信之后,才会把加密过的信息传输给网站。有了认证和加密的 https 保证了数据的安全:除了传输的双方,第三方无从获得和更改数据。

对于网站来说,经过加密的网页可以防止被恶意劫持,而对于用户,https 保证了自己的数据不被泄露。

明文信息不够安全,转「https」成大势所趋

https 协议在 1994 年就已经推出,但一直未得到广泛的应用,因为加密的数据无法像明文信息一样快速传输,使用 https 会让访问速度变慢。

在 https 的推行上,Google 是先驱者。2010 年初,Gmail 全面默认以 https 访问,Google 提到:「我们在安全和速度之间找到了一个折中的方案」,默认使用 https 的 Gmail 保护了用户的数据不被第三方获取。同年 5 月份,Google 宣布将 https 的启用范围扩大到整个「Google 搜索」,用户的搜索内容不会再被第三方获取或阻止。

2016 年,Google 宣布在 Chrome 浏览器中将所有未通过 https 加密的网站标记为「不安全」,这是 Google 全面向 http 说「不」的开始。随后,苹果在 WWDC 2016 大会上也宣布了一项针对隐私安全保护的政策:「苹果将对 Apple Store 中的所有应用启用 ATS(App Transport Security:应用程序安全传输)功能,强制通过 https 连接,如果开发者在 2017 年 1 月 1 日仍然采用 http,应用将无法下载。」在国内,微信年初推出的小程序也要求全部采用 https 协议。对开发者来说,部署 https 已经成为大势所趋。

流量劫持背后:Google 在用「看不见」的方式保护你的隐私安全Google 全面推行 https 一年,已经取得一些明显的成效。从 Google 的报告(http://t.cn/RWSrGtC)中可以看到,一年前全球前 100 的网站中只有 37 个默认使用 https,而现在这个数字已经上升为 71 个。

近两年,国内很多网站也开始转向 https。2015 年,百度启用全站 https 加密,搜索结果的内容不会再被第三方路由器或浏览器篡改。2016 年,直播平台斗鱼全站升级到 https,弹幕中的恶意攻击、广告得到了抑制。新浪微博、B 站也都陆续启用 https。

对于访问量、用户量巨大的网站来说,由 http 转 https 并不是个小工程,前期要付出的成本、压力、技术要求是很高的。在推行过程中,Google、苹果这样具有平台效应的企业所付出的努力至关重要。对于这些「先行者」来说,前期可能并不会获得明显的成效,但对行业未来而言,技术革新作用巨大。

巨头推动,再主流的技术也要走下神坛

与「抛弃」http 很像的一个例子是 Flash 的退出。最早 Adobe Flash Player 以节省带宽的特点成为网页中广告、动画的常用格式,但它本身的诸多限制和信息安全问题越来越受人诟病。2010 年,乔布斯发表了一篇「对 Flash 的思考」的文章,指出随着 HTML5 的发展,Adobe Flash 在网页中变得可有可无。关于乔布斯个人与 Adobe 的矛盾当然也是拒绝 Flash 的原因之一,但 Flash 耗电、不安全等本身存在的问题才是其「被淘汰」的主因。苹果、Facebook、Google、微软等公司相继弃用 Flash,今年 7 月份,Adobe 宣布将于 2020 年 12 月 30 日停止更新和发行 Flash Player。

流量劫持背后:Google 在用「看不见」的方式保护你的隐私安全

图片来源:Wccftech

从长远的时空角度看,http、Flash 从神坛下落都是必然,但如果没有大企业的「推动」,新技术的革新可能没有那么快。Google 添加「不安全」提示,苹果弃用 Flash,对大多数用户来说根本感受不到。

旧规则被替代,其本身问题暴露是主因,新技术出现是外部因素,在此之上,大公司的推动才是「压死骆驼的最后一根稻草」。

关于 Google 全面启用 https 的契机,其实还有另一段更深的「传说」,感兴趣可以到 Gmail 的维基百科页面查看。


[免责声明]

资讯标题: 流量劫持背后:Google 在用「看不见」的方式保护你的隐私安全

资讯来源: 36氪官网

36氪企服点评

新锐产品推荐

消息通知
咨询入驻
商务合作