在 Google 眼中,所有的 HTTP 網站都不安全


Google正在推動整個互聯網由HTTP協議HTTPS協議過渡,這項工作由Google搜索和Chrome瀏覽器挑頭。

引用2014年4月,WSJ一份報告指出,Google在其搜索服務的結果排序上開始考慮“加密”因子,如果某些網站啟用HTTPS加密,它將獲得比平時更高的排名。此前,Google一直宣傳搜索結果排序僅考慮“質量”和“體驗”。

2014年8月,Google宣佈將“加密”正式作為搜索結果排序的影響因子。這將有一段寬限期,目前“加密”因子的影響力還很微小,但隨着時間增長,它會越來越高,直至所有網站都切換到加密模式(HTTPS)。

2014年12月,Chrome瀏覽器團隊發起提議,建議大家對地址欄的網址是否加密進行明顯標記。這份提議希望,在經過過渡期後,加密的網址(HTTPS)正常顯示,非加密網站(HTTP)將提示“不安全”。

Google希望推動的HTTPS協議,是HTTP協議的安全版本。HTTP是在互聯網上使用最為廣泛的一項網絡協議,它用於客户端和用户端之間傳遞信息,其最著名的應用是瀏覽器,我們平常上網用的IE、Chrome、360瀏覽器就有賴於它才能工作。

HTTP傳輸的內容是明文的,你上網瀏覽過、提交過的內容,所有在後台工作的人,比如路由器的所有者、網線途徑路線的不明意圖者、省市運營商、運營商骨幹網、跨運營商網關等都能夠查看。如果你訪問的是國外網站,那麼還得加上國際寬帶出口、國外運營商等。這串名單可以不斷延伸,一直到你對互聯網由崇拜轉為恐懼。

HTTPS在HTTP的下層添加了加密功能,通過HTTPS協議傳輸的內容,除非上述這條鏈路的參與者提前準備,否則傳輸過的信息是基本不可能被解密的。而提前準備,攻擊難度也非常高。

這是Google希望互聯網HTTPS化、乃至於提出“HTTP = 不安全”口號的原因,過去數年裏,我們一直生活在明文時代,上網的所有痕跡都暴露在巨型機構眼中。

美國NSA利用Google服務產生的cookie來精確定位他們懷疑的任何一位嫌疑人的上網痕跡;Verizon在其銷售的運營商定製機上跟蹤用户上網記錄;康斯卡特與中國所有的寬帶運營商們無差別的對用户瀏覽的網頁實行JS注入,在頁面上廣告彈窗;以及那座“不世之作”,由海量思科設備堆起來的“寬帶出口防火牆”。

在它們面前,我們其實並無隱私可言,不分國籍、不限地域。

但升級HTTPS亦是大難題,它意味着基礎設施、網絡架構、底層服務提供商發生變化。HTTPS被稱作緩存終結者、性能殺手,僅僅Google一家,很難推動大家去做改變。

特別是,還有觀念上的變化,那些漠視用户隱私的國度裏,誰來承當Google的角色呢?指望那家連HTTPS網站都不收錄的百度


題圖來自wikipedia.org


資料來源:雷鋒網
作者/編輯:王彪

如果喜歡我們的文章,請即分享到︰

標籤: HTTP