目前,HTTPS加密是公认的有效解决数据泄露、流量劫持、钓鱼网站等安全问题的基础防护措施。据有关研究报告显示,50%的网络流量已启用HTTPS加密。升级HTTPS加密已经成为互联网大背景下的趋势,像百度、淘宝、天猫、京东等国内流量巨大的网站,都已经启用了全站HTTPS加密。
很多网民可能有点摸不着头脑,想不通自己的账号密码信息是如何泄露的;为什么明明输入了正确的域名,却会打开来一个假冒钓鱼网站;为什么网页会布满了密密麻麻的的广告关一个弹出来一个。
互联网安全问题日益严峻,数据泄露、流量劫持、钓鱼攻击等安全事件频繁发生,甚至发展出以流量劫持、数据贩卖牟取非法利益的灰色产业链,通过篡改网页向用户强制植入广告以谋取利益;非法收集用户的个人信息用于出售给精准推广和电信欺诈。
而这一切得从HTTP协议使用明文传输的缺陷说起,可以说HTTP是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。使用HTTP协议传输数据,相当于让数据内容在网络中“裸奔”,除此之外,因为HTTP协议无法对服务器的身份进行验证,所以任何人都可以加冒成服务器与用户进行通讯,实施钓鱼攻击,而用户在遭受攻击时仍无法察觉。
而使用HTTPS加密,相当于在HTTP的基础上给传输的数据加密,通过部署的SSL证书来对服务器的身份进行验证,防止被假冒钓鱼网站所欺骗。通过部署SSL证书,在客户端和服务器之间建立加密传输通道,所有传输的数据都会在加密的情况下交互,这使得不法分子即使截获了数据包也无法得知数据的内容,确保用户在浏览网站的过程中不会发生信息泄露。
许多网站管理员认为,只有在收集用户个人信息或需要输入账号密码信息的页面才需要使用HTTPS加密。但事实上,如果网站仅局部使用HTTPS加密,那么就给了不法分子进行劫持的可乘之机,在HTTP页面跳转或重定向到HTTPS页面的过程中面临被不法分子劫持的风险。而全站HTTPS加密可以有效保障用户在访问网站时全程使用HTTPS加密,不让不法分子找到中间人跳转劫持的机会,综上所述,使用全站HTTPS加密才能有效保护用户的个人信息,是避免数据劫持的最佳解决方案。