通過輸入網址來打開網站,相信許多朋友的上網衝浪都是從這一步開始。即便移動互聯網生態已經愈發成熟、APP也更為契合智能手機,但網頁從始至終無疑都是互聯網最為核心的組成部分。因此網頁或網站的安全,也成為了互聯網信息安全的重點,而為了保護用戶不被不法分子侵擾,HTTPS安全瀏覽也逐漸成為網站的標準。
如果你在使用谷歌Chrome或者微軟Edge這類基於Chromium的瀏覽器時,發現網站的地址欄裡有一把“鎖”,就證明了它使用了更加安全的HTTPS協議。
但如今谷歌要對HTTPS協議“動手”了,而更準確的說,谷歌並非開發新的互聯網協議,而是要改變HTTPS協議的顯示圖標。日前谷歌方面在Chromium的官方博客中透露,未來將採用Tune圖標來替代鎖形圖標,因為Tune這個圖標更中立、也不容易讓用戶產生誤解。
根據谷歌方面的說法,在相關調查中發現,僅有11%的受訪者瞭解鎖形圖標表示網站採用了HTTPS,大部分受訪者則誤以為其代表網頁內容更安全。
也就是說,雖然谷歌在Chrome上使用鎖形圖標是來表示目標網站使用了HTTPS協議,但讓他們始料未及的是,大多數用戶都將HTTPS協議和網站本身是非惡意劃上了等號。顯然這是不對的,因此谷歌選擇放棄象徵安全的鎖,而用“Tune”這一既能提示鏈接是否已加密,又不會給用戶提供安全的圖標來替換。
為什麼代表網站使用HTTPS協議的鎖形圖標,並不是網站安全的標誌呢?這就要從HTTPS協議是什麼說起了,而說到網頁,HTTP協議自然就不能不提。超文本傳輸協議(英文:HyperText Transfer Protocol,縮寫:HTTP)是一種用於分佈式、協作式和超媒體信息系統的應用層協議,也是典型的請求/響應模型,是客戶端向服務器發送一個請求報文,服務器以一個狀態行作為響應,而響應的內容則包括協議的版本、成功或者錯誤代碼。
而一個典型的互聯網接入流程,則是這樣的。假如要訪問三易生活的官網,那麼瀏覽器就需要先對3elife.net這個網址通過DNS協議進行解析,查詢到我們網站的IP地址,再通過TCP協議將信息打包到數據包(packet)中交給網卡,然後使用HTTP協議訪問web服務器,再根據對應的IP地址,網卡將數據包轉換為電信號,並通過網線發送出去。
作為一個負責數據傳輸的應用層協議,HTTP相當於扮演的是快遞員的角色。只不過由於HTTP是在上世紀90年代誕生,彼時新生的互聯網遠不如當下這般複雜,所以網絡安全在當時甚至都沒能成為一個課題,再加上硬件和資源的限制,HTTP協議是使用明文傳輸、數據並未經過加密。而明文傳輸帶來的問題是無法防止中間人截獲、盜取和篡改信息,而從路由器、運營商到對方服務器,中間的每一步都是明文。
最典型的例子,就是多年前有運營商會給用戶訪問的網頁插入窗口廣告。而在互聯網世界裡,明文傳輸無異於是小兒持金過鬧市。因此HTTPS協議應運而生,它的核心變化就是使用了非對稱的RSA加密算法,通過密鑰把明文(原始信息)變成密文(明文變換後的信息),這樣一來,即使有黑客在數據傳輸過程中截獲了數據包,也只能看到一團亂碼,而不是敏感信息。
而這裡就要劃重點了,HTTPS協議只能確保用戶在和真實的服務器通信,並且內容沒有被篡改。簡單來說,HTTPS協議能確保你訪問的是baidu而不是baiidu,可以解決域名劫持、數據劫持或者DNS汙染。那麼問題就來了,如果採用HTTPS的網站本身存在問題呢?畢竟HTTPS只是數據傳輸安全的認證,不等於網站就是好網站,使用HTTPS協議的釣魚網站按照Chrome的規則其實也能獲得“鎖形圖標”。
沒錯,即使網站本身是為網絡釣魚、電信詐騙服務,但由於HTTPS是中立的,它無法分辨網頁是正義、還是邪惡的,就導致了居心不良的網站也能使用HTTPS協議。也就是說,連接安全不等於網站的內容也是安全的,可過去在宣傳HTTPS時,谷歌們似乎並沒有注意到這一點。
長期以來,使用HTTPS協議安全、繼續使用HTTP協議不安全,成為了各大互聯網廠商齊心協力向用戶灌輸的觀念,但如今看來,這一行動的效果似乎是好過了頭。
畢竟對於互聯網相關技術不瞭解的用戶,並不知道HTTPS到底是保護什麼,他們只能看到Chrome顯示這個網站有象徵安全的“鎖”。而Chrome用“Tune”圖標來代替鎖形圖標就是希望告訴用戶,瀏覽器只能對網頁的連接安全負責,至於網頁到底是幹什麼的,他們並不負責判斷。
“小摺疊”為啥不用最新款旗艦SoC?原因可能是這些
“小摺疊”機型的這個缺憾,未來或將會得到改善。