HTTP數據在網絡中裸奔
HTTP明文協議的缺陷,是導致數據泄露、數據篡改、流量劫持、釣魚攻擊等安全問題的重要原因。HTTP協議無法加密數據,所有通信數據都在網絡中明文“裸奔”。通過網絡的嗅探設備及一些技術手段,就可還原HTTP報文內容。
更安全、更可信,是HTTP后面這個“S”最大的意義。HTTPS在HTTP的基礎上加入了SSL/TLS協議,依靠SSL證書來驗證服務器的身份,並為客戶端和服務器端之間建立“SSL加密通道”,確保用戶數據在傳輸過程中處於加密狀態,同時防止服務器被釣魚網站假冒。
網頁篡改及劫持無處不在
篡改網頁推送廣告可以謀取商業利益,而竊取用戶信息可用於精准推廣甚至電信欺詐,以流量劫持、數據販賣為生的灰色產業鏈成熟完善。即使是技術強悍的知名互聯網企業,在每天數十億次的數據請求中,都不可避免地會有小部分流量遭到劫持或篡改,更不要提其它的小微網站了。
智能手機普及,WIFI接入常態化
WIFI熱點的普及和移動網絡的加入,放大了數據被劫持、篡改的風險。開篇所說的星巴克事件、家庭路由器事件就是一個很有意思的例子。
自由的網絡無法驗證網站身份
HTTP協議無法驗證通信方身份,任何人都可以偽造虛假服務器欺騙用戶,實現“釣魚欺詐”,用戶根本無法察覺。