点击最多

 

猜你喜欢

流量劫持背后:Google 在用「看不见」的方式你的隐私安全

2018-01-17 21:57

  旧规则被替代,其本身问题是主因,新技术出现是外部因素,在此之上,大公司的推动才是「压死骆驼的最后一根稻草」。返回搜狐,查看更多

  信息在传输过程中要经过运营商、由器、Wi-Fi 热点等多个环节,每一层数据都有被泄露的可能。很多人都遇到过网站被劫持的情况,最常见的就是网页间弹出的小广告,这就是信息在传输过程中被进行了。一些软件、网站用流量劫持的方式来进意推广。

  流量劫持只是信息传输的危害之一,更严重的后果是泄露用户隐私。比如当你在网购时输入银行卡号、密码等信息,没有经过加密的数据就像扔在边的 iPhone X,在有一定技术手段的黑客面前简直就是唾手可得。

  从长远的时空角度看,http、Flash 从神坛下落都是必然,但如果没有大企业的「推动」,新技术的革新可能没有那么快。Google 添加「不安全」提示,苹果弃用 Flash,对大多数用户来说根本感受不到。

  对于网站来说,经过加密的网页可以防止被恶意劫持,而对于用户,https 了自己的数据不被泄露。

  https 协议在 1994 年就已经推出,但一直未得到广泛的应用,因为加密的数据无信息一样快速传输,使用 https 会让访问速度变慢。

  在 https 的推行上,Google 是者。2010 年初,Gmail 全面默认以 https 访问,Google 提到:「我们在安全和速度之间找到了一个折中的方案」,默认使用 https 的 Gmail 了用户的数据不被第三方获取。同年 5 月份,Google 宣布将 https 的启用范围扩大到整个「Google 搜索」,用户的搜索内容不会再被第三方获取或。

  当我们有越来越多个人信息和财产安全牵扯到网络时,http 的安全隐患也愈发显眼。

  近两年,国内很多网站也开始转向 https。2015 年,百度启用全站 https 加密,搜索结果的内容不会再被第三方由器或浏览器。2016 年,直播平台斗鱼全站升级到 https,弹幕中的恶意、广告得到了。新浪微博、B 站也都陆续启用 https。

  原标题:流量劫持背后:Google 在用「看不见」的方式你的隐私安全

  当你一次次在不同的网站输入自己的账号密码、身份证号、银行卡号时,有没有考虑过:「这安全吗?」可能对于大多数人来讲,我们无法得知自己的数据会在何时、以何种方式泄露,但至少应该知道——我要访问的网站是否值得信任。

  2016 年,Google 宣布在 Chrome 浏览器中将所有未通过 https 加密的网站标记为「不安全」,这是 Google 全面向 http 说「不」的开始。随后,苹果在 WWDC 2016 大会上也宣布了一项针对隐私安全的政策:「苹果将对 Apple Store 中的所有应用启用 ATS(App Transport Security:应用程序安全传输)功能,强制通过 https 连接,如果开发者在 2017 年 1 月 1 日仍然采用 http,应用将无法下载。」在国内,微信年初推出的小程序也要求全部采用 https 协议。对开发者来说,部署 https 已经成为大势所趋。

  与「抛弃」http 很像的一个例子是 Flash 的退出。最早 Adobe Flash Player 以节省带宽的特点成为网页中广告、动画的常用格式,但它本身的诸多和信息安全问题越来越受人诟病。2010 年,乔布斯发表了一篇「对 Flash 的思考」的文章,指出随着 HTML5 的发展,Adobe Flash 在网页中变得可有可无。关于乔布斯个人与 Adobe 的矛盾当然也是 Flash 的原因之一,但 Flash 耗电、不安全等本身存在的问题才是其「被淘汰」的主因。苹果、Facebook、Google、微软等公司相继弃用 Flash,今年 7 月份,Adobe 宣布将于 2020 年 12 月 30 日停止更新和发行 Flash Player。

  在 http 的基础上,https 增加了身份验证和数据加密来传输安全,简单来说,https 就是安全版的 http。网站在收到用户的访问请求后,会首先发送证书和一对密钥给浏览器,一个用作加密,另一个用作解密,浏览器在认证网站可信之后,才会把加密过的信息传输给网站。有了认证和加密的 https 了数据的安全:除了传输的双方,第三方无从获得和更改数据。

  对于访问量、用户量巨大的网站来说,由 http 转 https 并不是个小工程,前期要付出的成本、压力、技术要求是很高的。在推行过程中,Google、苹果这样具有平台效应的企业所付出的努力至关重要。对于这些「先行者」来说,前期可能并不会获得明显的成效,但对行业未来而言,技术革新作用巨大。

  去年 9 月,Google 宣布在 Chrome 中将所有未通过 https 加密的网站标记为「不安全」。用户在加载网页时,地址栏左侧的图标会提示安全状态,如果是 https 打头的网页会显示绿色的小锁,代表网页「相对安全」,http 打头的网页则会提示「不安全」或者「」。

  这样做是为了帮助用户以更安全的方式浏览网页,但同时也在督促网站转向 https 模式。

  Google 全面推行 https 一年,已经取得一些明显的成效。从 Google 的报告中可以看到,一年前全球前 100 的网站中只有 37 个默认使用 https,而现在这个数字已经上升为 71 个。

  我们浏览网页是通过和网站间的数据传输实现的,http 提供了统一的标准来规范这种行为。http 在设计之初,更多是考虑传输速度和效率,所以传输过程中所有数据使用的都是,也并没有对传输双方的身份进行验证,信息很容易被获取甚至,这给用户的上网行为带来安全隐患。