Google Voice号码

_谷歌GV虚拟号码_谷歌Gmail邮箱账号

谷歌Chrome要必变 采用HTTPS并不代表内容更安全

mumu.me讯:通过输入网址来打开网站,相信许多朋友的上网冲浪都是从这一步开始。即便移动互联网生态已经愈发成熟、APP也更为契合智能手机,但网页从始至终无疑都是互联网最为核心的组成部分。因此网页或网站的安全,也成为了互联网信息安全的重点,而为了保护用户不被不法分子侵扰,HTTPS安全浏览也逐渐成为网站的标准。

如果你在使用谷歌Chrome或者微软Edge这类基于Chromium的浏览器时,发现网站的地址栏里有一把“锁”,就证明了它使用了更加安全的HTTPS协议。

但如今谷歌要对HTTPS协议“动手”了,而更准确的说,谷歌并非开发新的互联网协议,而是要改变HTTPS协议的显示图标。日前谷歌方面在Chromium的官方博客中透露,未来将采用Tune图标来替代锁形图标,因为Tune这个图标更中立、也不容易让用户产生误解。

根据谷歌方面的说法,在相关调查中发现,仅有11%的受访者了解锁形图标表示网站采用了HTTPS,大部分受访者则误以为其代表网页内容更安全。

也就是说,虽然谷歌在Chrome上使用锁形图标是来表示目标网站使用了HTTPS协议,但让他们始料未及的是,大多数用户都将HTTPS协议和网站本身是非恶意划上了等号。显然这是不对的,因此谷歌选择放弃象征安全的锁,而用“Tune”这一既能提示链接是否已加密,又不会给用户提供安全的图标来替换。

为什么代表网站使用HTTPS协议的锁形图标,并不是网站安全的标志呢?这就要从HTTPS协议是什么说起了,而说到网页,HTTP协议自然就不能不提。超文本传输协议(英文:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议,也是典型的请求/响应模型,是客户端向服务器发送一个请求报文,服务器以一个状态行作为响应,而响应的内容则包括协议的版本、成功或者错误代码。

而一个典型的互联网接入流程,则是这样的。假如要访问三易生活的官网,那么浏览器就需要先对3elife.net这个网址通过DNS协议进行解析,查询到我们网站的IP地址,再通过TCP协议将信息打包到数据包(packet)中交给网卡,然后使用HTTP协议访问web服务器,再根据对应的IP地址,网卡将数据包转换为电信号,并通过网线发送出去。

作为一个负责数据传输的应用层协议,HTTP相当于扮演的是快递员的角色。只不过由于HTTP是在上世纪90年代诞生,彼时新生的互联网远不如当下这般复杂,所以网络安全在当时甚至都没能成为一个课题,再加上硬件和资源的限制,HTTP协议是使用明文传输、数据并未经过加密。而明文传输带来的问题是无法防止中间人截获、盗取和篡改信息,而从路由器、运营商到对方服务器,中间的每一步都是明文。

最典型的例子,就是多年前有运营商会给用户访问的网页插入窗口广告。而在互联网世界里,明文传输无异于是小儿持金过闹市。因此HTTPS协议应运而生,它的核心变化就是使用了非对称的RSA加密算法,通过密钥把明文(原始信息)变成密文(明文变换后的信息),这样一来,即使有黑客在数据传输过程中截获了数据包,也只能看到一团乱码,而不是敏感信息。

而这里就要划重点了,HTTPS协议只能确保用户在和真实的服务器通信,并且内容没有被篡改。简单来说,HTTPS协议能确保你访问的是baidu而不是baiidu,可以解决域名劫持、数据劫持或者DNS污染。那么问题就来了,如果采用HTTPS的网站本身存在问题呢?毕竟HTTPS只是数据传输安全的认证,不等于网站就是好网站,使用HTTPS协议的钓鱼网站按照Chrome的规则其实也能获得“锁形图标”。

没错,即使网站本身是为网络钓鱼、电信诈骗服务,但由于HTTPS是中立的,它无法分辨网页是正义、还是邪恶的,就导致了居心不良的网站也能使用HTTPS协议。也就是说,连接安全不等于网站的内容也是安全的,可过去在宣传HTTPS时,谷歌们似乎并没有注意到这一点。

长期以来,使用HTTPS协议安全、继续使用HTTP协议不安全,成为了各大互联网厂商齐心协力向用户灌输的观念,但如今看来,这一行动的效果似乎是好过了头。

毕竟对于互联网相关技术不了解的用户,并不知道HTTPS到底是保护什么,他们只能看到Chrome显示这个网站有象征安全的“锁”。而Chrome用“Tune”图标来代替锁形图标就是希望告诉用户,浏览器只能对网页的连接安全负责,至于网页到底是干什么的,他们并不负责判断。

Tagged:

Related Posts