目前我們看到網(wǎng)絡(luò)加密的速度比歷史上的任何時(shí)候都要快，全站HTTPS正在取得令人驚嘆的進(jìn)展，谷歌在去年公布了一組Chrome瀏覽器的數(shù)據(jù)，我們看到HTTPS網(wǎng)站的迅猛增長(zhǎng)：

 

全站 HTTPS 已經(jīng)成為一種趨勢(shì)，并將最終成為所有網(wǎng)站的標(biāo)配。

 

Http協(xié)議更容易發(fā)生流量劫持

1、http易致在線應(yīng)用被劫持

網(wǎng)頁技術(shù)在近些年里有了很大的發(fā)展，但其底層協(xié)議HTTP始終沒有太大的改進(jìn)，HTTP是一種使用了20 多年古老協(xié)議。在HTTP 里，一切都是明文傳輸?shù)模髁吭谕局锌呻S心所欲的被控制。而在線使用的WebApp，流量里既有通信數(shù)據(jù)，又有程序的界面和代碼，劫持簡(jiǎn)直輕而易舉。因此，劫持網(wǎng)頁流量成了各路黑客們的鐘愛，一種可在任意網(wǎng)頁發(fā)起XSS的入侵方式。

2、HTTP 緩存投毒

HTTP這種簡(jiǎn)單的純文本協(xié)議，幾乎沒有一種簽名機(jī)制，來驗(yàn)證內(nèi)容的真實(shí)性。即使頁面被篡改了，瀏覽器也完全無法得知，甚至連同注入的腳本也一塊緩存起來。但凡具備可執(zhí)行的資源，都可以通過預(yù)加載帶毒的版本，將其提前緩存起來。

3、公共場(chǎng)合使用http，不登陸也會(huì)被劫持

在自己的設(shè)備上，大家都會(huì)記住各種賬號(hào)的登錄狀態(tài)，反正只有自己用，也沒什么大不了的。然而，在被劫持的網(wǎng)絡(luò)里，即使瀏覽再平常不過的網(wǎng)頁，或許一個(gè)悄無聲息的間諜腳本已暗藏其中，正偷偷訪問你那登錄著的網(wǎng)頁，操控起你的賬號(hào)了。

4、http狀態(tài)下Cookie 記錄或?yàn)g覽器自動(dòng)填表單，都會(huì)導(dǎo)致賬號(hào)密碼被截獲

http狀態(tài)下，cookie記錄的都是明文的賬號(hào)密碼，被劫持泄露后，即使數(shù)量不多，也能通過社工獲取到用戶的更多信息，最終導(dǎo)致更嚴(yán)重的泄露。

網(wǎng)站實(shí)現(xiàn)Https訪問能有效避免流量劫持

網(wǎng)站實(shí)現(xiàn)Https訪問能有效避免流量劫持，但前提是必須用受信任SSL證書。不同于簡(jiǎn)單的Http代理，HTTPS 服務(wù)需要權(quán)威CA機(jī)構(gòu)頒發(fā)的SSL證書才算有效。自簽證書瀏覽器不認(rèn)，而且會(huì)給予嚴(yán)重的警告提示。而遇到“此網(wǎng)站安全證書存在問題”的警告時(shí)，大多用戶不明白是什么情況，就點(diǎn)了繼續(xù)，導(dǎo)致允許了黑客的偽證書，不受信任的HTTPS 流量因此遭到劫持。

如果重要的賬戶網(wǎng)站遇到這種情況，無論如何都不該點(diǎn)擊繼續(xù)，否則大門鑰匙或許就落入黑客之手。

 

全站實(shí)現(xiàn)Https訪問的重要性

• 情況一：從http頁面跳轉(zhuǎn)訪問https頁面

在 PC 端上網(wǎng)如果首先進(jìn)入的網(wǎng)站是使用不安全的HTTP 協(xié)議。那么在該網(wǎng)站的頁面里注入XSS，屏蔽跳轉(zhuǎn)到 HTTPS 的頁面訪問，用HTTP 取而代之，那么用戶也就永遠(yuǎn)無法進(jìn)入安全站點(diǎn)了。盡管地址欄里沒有出現(xiàn) HTTPS 的字樣，但域名看起來也是正確的，大多用戶都會(huì)認(rèn)為不是釣魚網(wǎng)站，因此也就忽視了。

因此，只要入口頁是不安全的，那么之后的頁面再安全也無濟(jì)于事。

• 情況二：http頁面重定向到https頁面

有一些用戶通過輸網(wǎng)址訪問的，他們輸入了www.example.com 就敲回車進(jìn)入了。然而，瀏覽器并不知道這是一個(gè)HTTPS 的站點(diǎn)，于是使用默認(rèn)的 HTTP 去訪問。不過這個(gè)HTTP 版的頁面的確也存在，其唯一功能就是重定向到自己HTTPS 站點(diǎn)上。

劫持流量的中間人一旦發(fā)現(xiàn)有重定向到HTTPS 站點(diǎn)的，于是攔下重定向的命令，自己去獲取重定向后的站點(diǎn)內(nèi)容，然后再回復(fù)給用戶。于是，用戶始終都是在HTTP 站點(diǎn)上訪問，自然就可以無限劫持了。

國(guó)外各大知名網(wǎng)站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過Always on SSL(全站https)技術(shù)措施來保證用戶機(jī)密信息和交易安全，防止會(huì)話攻擊和中間人攻擊。

 

 

證書頒發(fā)機(jī)構(gòu)起關(guān)鍵

一家證書頒發(fā)機(jī)構(gòu)（如 GlobalSign）的作用是給您簽發(fā)證書并安裝到站點(diǎn)。證書在整個(gè)過程中起著至關(guān)重要的作用，即認(rèn)證。 如果您在地址欄中輸入sslchina.com，然后按回車，當(dāng)頁面加載時(shí)，您可以確定您已經(jīng)從sslchina.com加載頁面，并且沒有人試圖模仿我。 瀏覽器驗(yàn)證它收到的證書，以確保它是一個(gè)真正的證書而不是偽造的證書，證明它是由可信任的CA頒發(fā)的，并且該證書是發(fā)給sslchina.com的。 這是瀏覽器在建立安全連接時(shí)執(zhí)行的第一步，如果失敗，則不會(huì)再有任何事情發(fā)生

目前我們看到網(wǎng)絡(luò)加密的速度比歷史上的任何時(shí)候都要快，全站HTTPS正在取得令人驚嘆的進(jìn)展，谷歌在去年公布了一組Chrome瀏覽器的數(shù)據(jù)，我們看到HTTPS網(wǎng)站的迅猛增長(zhǎng)：

 

全站 HTTPS 已經(jīng)成為一種趨勢(shì)，并將最終成為所有網(wǎng)站的標(biāo)配。

 

Http協(xié)議更容易發(fā)生流量劫持

1、http易致在線應(yīng)用被劫持

網(wǎng)頁技術(shù)在近些年里有了很大的發(fā)展，但其底層協(xié)議HTTP始終沒有太大的改進(jìn)，HTTP是一種使用了20 多年古老協(xié)議。在HTTP 里，一切都是明文傳輸?shù)?，流量在途中可隨心所欲的被控制。而在線使用的WebApp，流量里既有通信數(shù)據(jù)，又有程序的界面和代碼，劫持簡(jiǎn)直輕而易舉。因此，劫持網(wǎng)頁流量成了各路黑客們的鐘愛，一種可在任意網(wǎng)頁發(fā)起XSS的入侵方式。

2、HTTP 緩存投毒

HTTP這種簡(jiǎn)單的純文本協(xié)議，幾乎沒有一種簽名機(jī)制，來驗(yàn)證內(nèi)容的真實(shí)性。即使頁面被篡改了，瀏覽器也完全無法得知，甚至連同注入的腳本也一塊緩存起來。但凡具備可執(zhí)行的資源，都可以通過預(yù)加載帶毒的版本，將其提前緩存起來。

3、公共場(chǎng)合使用http，不登陸也會(huì)被劫持

在自己的設(shè)備上，大家都會(huì)記住各種賬號(hào)的登錄狀態(tài)，反正只有自己用，也沒什么大不了的。然而，在被劫持的網(wǎng)絡(luò)里，即使瀏覽再平常不過的網(wǎng)頁，或許一個(gè)悄無聲息的間諜腳本已暗藏其中，正偷偷訪問你那登錄著的網(wǎng)頁，操控起你的賬號(hào)了。

4、http狀態(tài)下Cookie 記錄或?yàn)g覽器自動(dòng)填表單，都會(huì)導(dǎo)致賬號(hào)密碼被截獲

http狀態(tài)下，cookie記錄的都是明文的賬號(hào)密碼，被劫持泄露后，即使數(shù)量不多，也能通過社工獲取到用戶的更多信息，最終導(dǎo)致更嚴(yán)重的泄露。

網(wǎng)站實(shí)現(xiàn)Https訪問能有效避免流量劫持

網(wǎng)站實(shí)現(xiàn)Https訪問能有效避免流量劫持，但前提是必須用受信任SSL證書。不同于簡(jiǎn)單的Http代理，HTTPS 服務(wù)需要權(quán)威CA機(jī)構(gòu)頒發(fā)的SSL證書才算有效。自簽證書瀏覽器不認(rèn)，而且會(huì)給予嚴(yán)重的警告提示。而遇到“此網(wǎng)站安全證書存在問題”的警告時(shí)，大多用戶不明白是什么情況，就點(diǎn)了繼續(xù)，導(dǎo)致允許了黑客的偽證書，不受信任的HTTPS 流量因此遭到劫持。

如果重要的賬戶網(wǎng)站遇到這種情況，無論如何都不該點(diǎn)擊繼續(xù)，否則大門鑰匙或許就落入黑客之手。

 

全站實(shí)現(xiàn)Https訪問的重要性

• 情況一：從http頁面跳轉(zhuǎn)訪問https頁面

在 PC 端上網(wǎng)如果首先進(jìn)入的網(wǎng)站是使用不安全的HTTP 協(xié)議。那么在該網(wǎng)站的頁面里注入XSS，屏蔽跳轉(zhuǎn)到 HTTPS 的頁面訪問，用HTTP 取而代之，那么用戶也就永遠(yuǎn)無法進(jìn)入安全站點(diǎn)了。盡管地址欄里沒有出現(xiàn) HTTPS 的字樣，但域名看起來也是正確的，大多用戶都會(huì)認(rèn)為不是釣魚網(wǎng)站，因此也就忽視了。

因此，只要入口頁是不安全的，那么之后的頁面再安全也無濟(jì)于事。

• 情況二：http頁面重定向到https頁面

有一些用戶通過輸網(wǎng)址訪問的，他們輸入了www.example.com 就敲回車進(jìn)入了。然而，瀏覽器并不知道這是一個(gè)HTTPS 的站點(diǎn)，于是使用默認(rèn)的 HTTP 去訪問。不過這個(gè)HTTP 版的頁面的確也存在，其唯一功能就是重定向到自己HTTPS 站點(diǎn)上。

劫持流量的中間人一旦發(fā)現(xiàn)有重定向到HTTPS 站點(diǎn)的，于是攔下重定向的命令，自己去獲取重定向后的站點(diǎn)內(nèi)容，然后再回復(fù)給用戶。于是，用戶始終都是在HTTP 站點(diǎn)上訪問，自然就可以無限劫持了。

國(guó)外各大知名網(wǎng)站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過Always on SSL(全站https)技術(shù)措施來保證用戶機(jī)密信息和交易安全，防止會(huì)話攻擊和中間人攻擊。

 

 

證書頒發(fā)機(jī)構(gòu)起關(guān)鍵

一家證書頒發(fā)機(jī)構(gòu)（如 GlobalSign）的作用是給您簽發(fā)證書并安裝到站點(diǎn)。證書在整個(gè)過程中起著至關(guān)重要的作用，即認(rèn)證。 如果您在地址欄中輸入sslchina.com，然后按回車，當(dāng)頁面加載時(shí)，您可以確定您已經(jīng)從sslchina.com加載頁面，并且沒有人試圖模仿我。 瀏覽器驗(yàn)證它收到的證書，以確保它是一個(gè)真正的證書而不是偽造的證書，證明它是由可信任的CA頒發(fā)的，并且該證書是發(fā)給sslchina.com的。 這是瀏覽器在建立安全連接時(shí)執(zhí)行的第一步，如果失敗，則不會(huì)再有任何事情發(fā)生