更新通知:抵抗社会毒瘤(1)

王志勇 发表于 2022年07月27日 10:20

本文新增的内容,感谢关注!原文:抵抗社会毒瘤(1):抵抗https

https安全吗?/http不安全?(1)
此副标题更新于2022-07-27 09:16。昨天又想到这个问题,在本栏目的第1篇,已经谈过这个问题。

如今的https链条发展现状,Chrome浏览器已经在地址栏里,给http打上了红色的“不安全”标签长达4年。火狐浏览器,对于https的链接,地址栏有一个绿锁图标。

“不安全”标签和绿锁的图标,给人一种强烈的意识:https自带杀毒功能。“不安全”,就给人一种带有病毒、严重漏洞的信号;绿锁给人一种全然安全的信号。

在2007年经历过熊猫病毒,以及2006年的网银盗密码病毒(非常厉害!)的朋友可能会知道,当年的这些病毒,都是通过网页的VBScript程序传播的,IE 6.0之下,遇到这种病毒的时候,会中病毒。

在当时,使用Firefox(火狐浏览器),就再也不会中这类网页病毒,所以在当时,Firefox是一款相当安全的浏览器,可用于浏览各类从来没有访问过的新网站。至今,Firefox也是我唯一的主力浏览器,因为它能防范网页病毒。

当然,目前还没有一款绝对、全然安全的浏览器,任何防火墙、杀毒软件,都不能绝对防止任何木马,现在国内的支付系统,对于新设备登录、或者异地新设备登录,都需要短信验证,这一点极大地提高了安全级别。

有了短信验证,即使是在有病毒的环境里,或者即使对方知道你的登录密码,他也无法使用。

如今,如果使用https访问那些带有网页病毒的网站,且使用没有防范VBScript病毒的浏览器,依然可能会中病毒。但是,也不排除一些https供应商,在https上增加了检测一些病毒的功能。

因为https起的作用是加密传输;而客户端的网页病毒,是浏览器所承担的功能。

再简单地陈述总结:

https的功能分工:在所有的服务器节点当中,加密传输。
火狐、Chrome、IE、Edge、Safari、UC等浏览器的功能分工:防范网页病毒。

而一些浏览器把http贴上“不安全”的标签,或者把https标注为绿锁,是在混淆这2种功能上的分工:让人误以为https具有防病毒的功能。

https安全吗?/http不安全?(2)
(更新于2022-07-27 09:32) 把http贴上“不安全”的标签,或者把https标注为绿锁,就类似于在一个治安较为平稳的社会,如果白天出门不带各种防身器械,就会贴上“不安全”的警(隔开)告。

http是明文传输,相关的网络技术公司,完全能够修复这个漏洞,而不是新推出一个影响网站性能且价格昂贵的https、并且用各种手段抹黑使用了几十年的http。标注http为“不安全”的浏览器,居心叵测

由于https的性能明显低于http,所以目前尚未有一个新的协议能够代替http,http仍然是一个重要的互联网传输标准。

加密传输是否有意义?
随着这几年,个别浏览器对http的日益抹黑,加密传输、隐私,逐渐成为很多专业网民关注的焦点,典型的案例就是一些大的论坛,之前是使用http,但是有一些坛友会建议尽快使用https。

可是,由于99.9%以上的网页,都是不需要加载Cookies,也就是不需要登录就能浏览,这些网页的URL本身是明文的,是否加密传输,结果都是一样,都能获得这个网页的内容

所以,99.9%以上的网页不需要加密传输。只有网银系统、支付系统、会员登录页,加密传输有一定的必要性,即使没有https的全页加密传输,这些也能用JavaScript的前端加密(因为JavaScript是唯一的前端编程语言),完全能实现http上的加密传输。

总之,简单地陈述:http本来是不存在安全问题的(因为能通过技术手段避免),而是https为了推销SSL证书,矫枉过正地强调这个安全问题

http的web劫(隔开)持(2)
(更新于2022-07-27 09:51) 这也是大部分人使用https的一个重要原因。目前,能够做到的web劫(隔开)持的环节,目前已知的只有运营商,以及路由器上的劫(隔开)持。

相关的网络技术公司,完全能够解决这个问题,也需要出台相关的法律来约束这种行为。

这类web劫(隔开)持,目前都是较为小打小闹,是一段JS广告代码,很类似于楼道里的“虎皮膏药”的小广告。这些web劫(隔开)持,如果是诈(隔开)骗信息,目前网络上还没有听说过。

且运营商不会发布这类明显的诈(隔开)骗信息,否则一告一个准。

路由器上的劫(隔开)持,这类可能是由于一些路由器的固件里有漏洞。解决的办法是使用大厂的路由器,或者重新刷一下路由器的固件。

浏览器上能显示SSL证书的到期时间
(更新于2022-07-27 10:20) 昨天发现,最新版的Chrome浏览器,对每个https站点,都能显示SSL证书的到期时间。这更加证明了强调SSL证书的有效期,以提示网站维护者及时续期(即续费),进一步巩固SSL证书的销售链条。

自签名的https,能起到SSL证书一样的加密传输的作用,防止web劫(隔开)持的功能。但是,所有浏览器对于自签名的https,都会有一个不受信任、“是否添加到例外”的安全提示。

其实,起初我遇到这类不受信任、“是否添加到例外”,真的觉得那个网站不安全,全都关掉了浏览器。

出现这个问题,是由于SSL过期,没有及时续期,自动转为自签名的https。

后来,遇到这类不受信任、“是否添加到例外”的网站,我全都添加到了例外,完全不存在安全问题,也就是说:自签名的https、SSL的安全性能是一样的

因为不受信任、“是否添加到例外”的这个安全提示,也是SSL证书的销售链条,为了强调SSL证书,而刻意做的安全提示。

0条评论:

抱歉,评论已关闭。

王志勇:1980-09-26 (43周岁)
程序设计,前端设计。

版权声明:本博客所有文章,均符合原创的定义,禁止转载,违者将必究;正确的方法是贴原文的标题和网址即可。

与此相关的链接
自由勇专栏

Blog存档 Archives

2022年07月
2022年06月(15)
2022年05月(20)
2022年04月(16)
2022年03月(9)
2022年02月(9)
2022年01月(10)
2021年 +

2020年 +
2019年 +
2018年 +
2016年-2017年(9)
2014年06月-09月(10)
2013年 +
2012年 +
2011年 +
2010年 +
2009年 +
2008年 +
2007年 +
2006年 +
2005年09月(4)

Copyright © 2006-2023 auiou.com All rights reserved.
此Blog程序由王志勇编写