目前我們看到網絡加密的速度比歷史上的任何時候都要快，全站HTTPS正在取得令人驚嘆的進展，谷歌在去年公布了一組Chrome瀏覽器的數(shù)據(jù)，我們看到HTTPS網站的迅猛增長：

 

全站 HTTPS 已經成為一種趨勢，并將最終成為所有網站的標配。

 

Http協(xié)議更容易發(fā)生流量劫持

1、http易致在線應用被劫持

網頁技術在近些年里有了很大的發(fā)展，但其底層協(xié)議HTTP始終沒有太大的改進，HTTP是一種使用了20 多年古老協(xié)議。在HTTP 里，一切都是明文傳輸?shù)模髁吭谕局锌呻S心所欲的被控制。而在線使用的WebApp，流量里既有通信數(shù)據(jù)，又有程序的界面和代碼，劫持簡直輕而易舉。因此，劫持網頁流量成了各路黑客們的鐘愛，一種可在任意網頁發(fā)起XSS的入侵方式。

2、HTTP 緩存投毒

HTTP這種簡單的純文本協(xié)議，幾乎沒有一種簽名機制，來驗證內容的真實性。即使頁面被篡改了，瀏覽器也完全無法得知，甚至連同注入的腳本也一塊緩存起來。但凡具備可執(zhí)行的資源，都可以通過預加載帶毒的版本，將其提前緩存起來。

3、公共場合使用http，不登陸也會被劫持

在自己的設備上，大家都會記住各種賬號的登錄狀態(tài)，反正只有自己用，也沒什么大不了的。然而，在被劫持的網絡里，即使瀏覽再平常不過的網頁，或許一個悄無聲息的間諜腳本已暗藏其中，正偷偷訪問你那登錄著的網頁，操控起你的賬號了。

4、http狀態(tài)下Cookie 記錄或瀏覽器自動填表單，都會導致賬號密碼被截獲

http狀態(tài)下，cookie記錄的都是明文的賬號密碼，被劫持泄露后，即使數(shù)量不多，也能通過社工獲取到用戶的更多信息，最終導致更嚴重的泄露。

網站實現(xiàn)Https訪問能有效避免流量劫持

網站實現(xiàn)Https訪問能有效避免流量劫持，但前提是必須用受信任SSL證書。不同于簡單的Http代理，HTTPS 服務需要權威CA機構頒發(fā)的SSL證書才算有效。自簽證書瀏覽器不認，而且會給予嚴重的警告提示。而遇到“此網站安全證書存在問題”的警告時，大多用戶不明白是什么情況，就點了繼續(xù)，導致允許了黑客的偽證書，不受信任的HTTPS 流量因此遭到劫持。

如果重要的賬戶網站遇到這種情況，無論如何都不該點擊繼續(xù)，否則大門鑰匙或許就落入黑客之手。

 

全站實現(xiàn)Https訪問的重要性

• 情況一：從http頁面跳轉訪問https頁面

在 PC 端上網如果首先進入的網站是使用不安全的HTTP 協(xié)議。那么在該網站的頁面里注入XSS，屏蔽跳轉到 HTTPS 的頁面訪問，用HTTP 取而代之，那么用戶也就永遠無法進入安全站點了。盡管地址欄里沒有出現(xiàn) HTTPS 的字樣，但域名看起來也是正確的，大多用戶都會認為不是釣魚網站，因此也就忽視了。

因此，只要入口頁是不安全的，那么之后的頁面再安全也無濟于事。

• 情況二：http頁面重定向到https頁面

有一些用戶通過輸網址訪問的，他們輸入了www.example.com 就敲回車進入了。然而，瀏覽器并不知道這是一個HTTPS 的站點，于是使用默認的 HTTP 去訪問。不過這個HTTP 版的頁面的確也存在，其唯一功能就是重定向到自己HTTPS 站點上。

劫持流量的中間人一旦發(fā)現(xiàn)有重定向到HTTPS 站點的，于是攔下重定向的命令，自己去獲取重定向后的站點內容，然后再回復給用戶。于是，用戶始終都是在HTTP 站點上訪問，自然就可以無限劫持了。

國外各大知名網站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過Always on SSL(全站https)技術措施來保證用戶機密信息和交易安全，防止會話攻擊和中間人攻擊。

 

 

證書頒發(fā)機構起關鍵

一家證書頒發(fā)機構（如 GlobalSign）的作用是給您簽發(fā)證書并安裝到站點。證書在整個過程中起著至關重要的作用，即認證。 如果您在地址欄中輸入sslchina.com，然后按回車，當頁面加載時，您可以確定您已經從sslchina.com加載頁面，并且沒有人試圖模仿我。 瀏覽器驗證它收到的證書，以確保它是一個真正的證書而不是偽造的證書，證明它是由可信任的CA頒發(fā)的，并且該證書是發(fā)給sslchina.com的。 這是瀏覽器在建立安全連接時執(zhí)行的第一步，如果失敗，則不會再有任何事情發(fā)生

目前我們看到網絡加密的速度比歷史上的任何時候都要快，全站HTTPS正在取得令人驚嘆的進展，谷歌在去年公布了一組Chrome瀏覽器的數(shù)據(jù)，我們看到HTTPS網站的迅猛增長：

 

全站 HTTPS 已經成為一種趨勢，并將最終成為所有網站的標配。

 

Http協(xié)議更容易發(fā)生流量劫持

1、http易致在線應用被劫持

網頁技術在近些年里有了很大的發(fā)展，但其底層協(xié)議HTTP始終沒有太大的改進，HTTP是一種使用了20 多年古老協(xié)議。在HTTP 里，一切都是明文傳輸?shù)模髁吭谕局锌呻S心所欲的被控制。而在線使用的WebApp，流量里既有通信數(shù)據(jù)，又有程序的界面和代碼，劫持簡直輕而易舉。因此，劫持網頁流量成了各路黑客們的鐘愛，一種可在任意網頁發(fā)起XSS的入侵方式。

2、HTTP 緩存投毒

HTTP這種簡單的純文本協(xié)議，幾乎沒有一種簽名機制，來驗證內容的真實性。即使頁面被篡改了，瀏覽器也完全無法得知，甚至連同注入的腳本也一塊緩存起來。但凡具備可執(zhí)行的資源，都可以通過預加載帶毒的版本，將其提前緩存起來。

3、公共場合使用http，不登陸也會被劫持

在自己的設備上，大家都會記住各種賬號的登錄狀態(tài)，反正只有自己用，也沒什么大不了的。然而，在被劫持的網絡里，即使瀏覽再平常不過的網頁，或許一個悄無聲息的間諜腳本已暗藏其中，正偷偷訪問你那登錄著的網頁，操控起你的賬號了。

4、http狀態(tài)下Cookie 記錄或瀏覽器自動填表單，都會導致賬號密碼被截獲

http狀態(tài)下，cookie記錄的都是明文的賬號密碼，被劫持泄露后，即使數(shù)量不多，也能通過社工獲取到用戶的更多信息，最終導致更嚴重的泄露。

網站實現(xiàn)Https訪問能有效避免流量劫持

網站實現(xiàn)Https訪問能有效避免流量劫持，但前提是必須用受信任SSL證書。不同于簡單的Http代理，HTTPS 服務需要權威CA機構頒發(fā)的SSL證書才算有效。自簽證書瀏覽器不認，而且會給予嚴重的警告提示。而遇到“此網站安全證書存在問題”的警告時，大多用戶不明白是什么情況，就點了繼續(xù)，導致允許了黑客的偽證書，不受信任的HTTPS 流量因此遭到劫持。

如果重要的賬戶網站遇到這種情況，無論如何都不該點擊繼續(xù)，否則大門鑰匙或許就落入黑客之手。

 

全站實現(xiàn)Https訪問的重要性

• 情況一：從http頁面跳轉訪問https頁面

在 PC 端上網如果首先進入的網站是使用不安全的HTTP 協(xié)議。那么在該網站的頁面里注入XSS，屏蔽跳轉到 HTTPS 的頁面訪問，用HTTP 取而代之，那么用戶也就永遠無法進入安全站點了。盡管地址欄里沒有出現(xiàn) HTTPS 的字樣，但域名看起來也是正確的，大多用戶都會認為不是釣魚網站，因此也就忽視了。

因此，只要入口頁是不安全的，那么之后的頁面再安全也無濟于事。

• 情況二：http頁面重定向到https頁面

有一些用戶通過輸網址訪問的，他們輸入了www.example.com 就敲回車進入了。然而，瀏覽器并不知道這是一個HTTPS 的站點，于是使用默認的 HTTP 去訪問。不過這個HTTP 版的頁面的確也存在，其唯一功能就是重定向到自己HTTPS 站點上。

劫持流量的中間人一旦發(fā)現(xiàn)有重定向到HTTPS 站點的，于是攔下重定向的命令，自己去獲取重定向后的站點內容，然后再回復給用戶。于是，用戶始終都是在HTTP 站點上訪問，自然就可以無限劫持了。

國外各大知名網站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過Always on SSL(全站https)技術措施來保證用戶機密信息和交易安全，防止會話攻擊和中間人攻擊。

 

 

證書頒發(fā)機構起關鍵

一家證書頒發(fā)機構（如 GlobalSign）的作用是給您簽發(fā)證書并安裝到站點。證書在整個過程中起著至關重要的作用，即認證。 如果您在地址欄中輸入sslchina.com，然后按回車，當頁面加載時，您可以確定您已經從sslchina.com加載頁面，并且沒有人試圖模仿我。 瀏覽器驗證它收到的證書，以確保它是一個真正的證書而不是偽造的證書，證明它是由可信任的CA頒發(fā)的，并且該證書是發(fā)給sslchina.com的。 這是瀏覽器在建立安全連接時執(zhí)行的第一步，如果失敗，則不會再有任何事情發(fā)生