看到网址前的小叹号,隐私就处在危险的境地

2017-01-24  本文已影响392人  康上明学
不安全站点

过年回家,多和亲人普及安全知识,以免在国内复杂的网络环境下,被流氓和骗子伤害。今天我们聊聊 HTTPS,以及谷歌在推进网络安全方面的努力。

每次到春节临近的时候,大家都会被提醒,要提高安全警惕注意安全。除了现实中我们面对很多“有趣的”骗子,网络中的流氓骗子也不少。

我们浏览网站的时候,就面临各种“高科技”欺诈手段。例如钓鱼网站、网站劫持、木马和病毒等。其中,流量劫持 总是游走在灰色地带,不少有头有脸的公司背地里也会用这样的手段牟利。

当你看到 Chrome 网址旁边出现了小叹号,一定不要输入自己重要的银行卡和账号密码。小叹号的出现,意味着与网站之间的连接是不安全的。网银,重要的邮箱服务,账号管理,都不应该出现小叹号。

网址旁边的小叹号提示站点仍在使用不安全的 HTTP 协议。

Chrome地址栏安全指示.png

什么是 HTTPS,作用是什么?

如果网站仍然使用 HTTP,传输数据是不加密的,在数据流经的节点上网页内容就可能被其他人修改,植入恶意的代码和广告。

本来你访问网页A,中间人可以将一段恶意代码添加到网页A中,甚至用另一个网页B来替代原本你要访问的网站。

这项手段可以做极端的坏事,例如盗取你的账号密码,对财产直接造成损害。也能做一些“灰色”的变现收入,例如在他人网站上加广告,而网站的主人却不知情。如果你是联通用户,相信你对中国联通流量劫持,在他人网页中加广告已经恨之入骨。

HTTPS 相比 HTTP 多了一个 Secure,就是为了解决上面提到的 HTTP的局限。HTTPS 可以为我们提供:

用送信来举例,简单解释上面三个特性:确保给你送信的就是你认识的那个写信人(身份验证),并且信的内容是没有被篡改的(完整性),中间也没有人偷看(机密性)。

HTTPS 已取得阶段性胜利

根据 Google 自己的统计,HTTPS 的推广已经取得阶段性胜利,切换到 HTTPS 的网站在不断增长。到目前为止,使用 Chrome 桌面端的用户所访问的流量,已经有一半都使用了 HTTPS

Google 还发布了“各大热门网站的 HTTPS 实施情况”报告,督促这些站点尽快使用安全的 HTTPS 连接。有趣的是一直宣称自己是中国第一大安全公司的 360.cn 出现在热门站点的头一个,并未使用 HTTPS。

各大热门网站的 HTTPS 实施情况

Chrome 浏览器加大安全提示力度

为了让用户浏览网页更佳安全,Chrome 很早就在地址栏前方显示连接站点的安全性提示。但之前 Chrome 并不会将 HTTP 连接的站点标记为“不安全”站点,只是有一个灰色的感叹号提示可能的风险。

从 2017年1月 开始,Chrome 56 版本将修改安全提示,针对收集用户密码或信用卡却仍在使用 HTTP 的网站,标记为“不安全”站点

Chrome 56 版本加强不安全站点提示

灰色感叹号的图标旁边,将加入文字提示。从设计中我们可以看到,目前 Chrome 仍然给 HTTP 连接的站点中性的提示。Chrome 团队认为这样是不够的,中性提示并不能反映出 HTTP 连接的安全风险。

未来对非HTTPS站点将醒目提示

用户研究发现,灰色感叹号提示并不足以让用户理解站点是不安全的,同时用户也会对过于频繁出现的警告麻木。Chrome 计划未来强化不安全 HTTP 站点的提示,在地址栏使用醒目红色的标记

Chrome 未来计划

在不久后版本中“隐身模式”下,就将采用红色来标记“不安全”的提示。因为“隐身模式”场景下,用户期望就是最大程度保护隐私。最终,Chrome 可能会对所有的 HTTP 站点都进行红色标记

所有的站点未来都应该默认使用 HTTPS。

网站所有者行动起来

几个月前我写过一篇如何使用免费的 HTTPS 证书提供商 Let's Encrypt 的教程,这篇文章获得了非常高的关注和流量,也是目前所有个人网站切换到 HTTPS 最全面的教程,希望对大家有帮助。

网站切换 HTTPS 教程:https://ksmx.me/letsencrypt-ssl-https/ - 《Let's Encrypt 给网站加 HTTPS 完全指南》

在国内复杂的网络环境下,需要时刻保持警惕。鼓励大家对象亲人、老人普及安全知识,拒绝流氓骗子。

(完)


明学的白板微信二维码明学的白板微信二维码

Stuff I Learned Yesterday 系列文章与你分享科技、设计、娱乐有关的话题。欢迎关注、打赏和转载。

最后:人在网上飘,哪能不挨骗。你是否有网络被骗或识破骗局的经历?欢迎留言和大家聊聊,造福大家。原文:看到网址前的小叹号,隐私就处在危险的境地

上一篇下一篇

猜你喜欢

热点阅读