目前我們看到網(wǎng)絡(luò)加密的速度比歷史上的任何時候都要快，全站HTTPS正在取得令人驚嘆的進展，谷歌在去年公布了一組Chrome瀏覽器的數(shù)據(jù)，我們看到HTTPS網(wǎng)站的迅猛增長：

 

全站 HTTPS 已經(jīng)成為一種趨勢，并將最終成為所有網(wǎng)站的標(biāo)配。

 

Http協(xié)議更容易發(fā)生流量劫持

1、http易致在線應(yīng)用被劫持

網(wǎng)頁技術(shù)在近些年里有了很大的發(fā)展，但其底層協(xié)議HTTP始終沒有太大的改進，HTTP是一種使用了20 多年古老協(xié)議。在HTTP 里，一切都是明文傳輸?shù)?，流量在途中可隨心所欲的被控制。而在線使用的WebApp，流量里既有通信數(shù)據(jù)，又有程序的界面和代碼，劫持簡直輕而易舉。因此，劫持網(wǎng)頁流量成了各路黑客們的鐘愛，一種可在任意網(wǎng)頁發(fā)起XSS的入侵方式。

2、HTTP 緩存投毒

HTTP這種簡單的純文本協(xié)議，幾乎沒有一種簽名機制，來驗證內(nèi)容的真實性。即使頁面被篡改了，瀏覽器也完全無法得知，甚至連同注入的腳本也一塊緩存起來。但凡具備可執(zhí)行的資源，都可以通過預(yù)加載帶毒的版本，將其提前緩存起來。

3、公共場合使用http，不登陸也會被劫持

在自己的設(shè)備上，大家都會記住各種賬號的登錄狀態(tài)，反正只有自己用，也沒什么大不了的。然而，在被劫持的網(wǎng)絡(luò)里，即使瀏覽再平常不過的網(wǎng)頁，或許一個悄無聲息的間諜腳本已暗藏其中，正偷偷訪問你那登錄著的網(wǎng)頁，操控起你的賬號了。

4、http狀態(tài)下Cookie 記錄或瀏覽器自動填表單，都會導(dǎo)致賬號密碼被截獲

http狀態(tài)下，cookie記錄的都是明文的賬號密碼，被劫持泄露后，即使數(shù)量不多，也能通過社工獲取到用戶的更多信息，最終導(dǎo)致更嚴(yán)重的泄露。

網(wǎng)站實現(xiàn)Https訪問能有效避免流量劫持

網(wǎng)站實現(xiàn)Https訪問能有效避免流量劫持，但前提是必須用受信任SSL證書。不同于簡單的Http代理，HTTPS 服務(wù)需要權(quán)威CA機構(gòu)頒發(fā)的SSL證書才算有效。自簽證書瀏覽器不認(rèn)，而且會給予嚴(yán)重的警告提示。而遇到“此網(wǎng)站安全證書存在問題”的警告時，大多用戶不明白是什么情況，就點了繼續(xù)，導(dǎo)致允許了黑客的偽證書，不受信任的HTTPS 流量因此遭到劫持。

如果重要的賬戶網(wǎng)站遇到這種情況，無論如何都不該點擊繼續(xù)，否則大門鑰匙或許就落入黑客之手。

 

全站實現(xiàn)Https訪問的重要性

• 情況一：從http頁面跳轉(zhuǎn)訪問https頁面

在 PC 端上網(wǎng)如果首先進入的網(wǎng)站是使用不安全的HTTP 協(xié)議。那么在該網(wǎng)站的頁面里注入XSS，屏蔽跳轉(zhuǎn)到 HTTPS 的頁面訪問，用HTTP 取而代之，那么用戶也就永遠無法進入安全站點了。盡管地址欄里沒有出現(xiàn) HTTPS 的字樣，但域名看起來也是正確的，大多用戶都會認(rèn)為不是釣魚網(wǎng)站，因此也就忽視了。

因此，只要入口頁是不安全的，那么之后的頁面再安全也無濟于事。

• 情況二：http頁面重定向到https頁面

有一些用戶通過輸網(wǎng)址訪問的，他們輸入了www.example.com 就敲回車進入了。然而，瀏覽器并不知道這是一個HTTPS 的站點，于是使用默認(rèn)的 HTTP 去訪問。不過這個HTTP 版的頁面的確也存在，其唯一功能就是重定向到自己HTTPS 站點上。

劫持流量的中間人一旦發(fā)現(xiàn)有重定向到HTTPS 站點的，于是攔下重定向的命令，自己去獲取重定向后的站點內(nèi)容，然后再回復(fù)給用戶。于是，用戶始終都是在HTTP 站點上訪問，自然就可以無限劫持了。

國外各大知名網(wǎng)站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過Always on SSL(全站https)技術(shù)措施來保證用戶機密信息和交易安全，防止會話攻擊和中間人攻擊。

 

 

證書頒發(fā)機構(gòu)起關(guān)鍵

一家證書頒發(fā)機構(gòu)（如 GlobalSign）的作用是給您簽發(fā)證書并安裝到站點。證書在整個過程中起著至關(guān)重要的作用，即認(rèn)證。 如果您在地址欄中輸入sslchina.com，然后按回車，當(dāng)頁面加載時，您可以確定您已經(jīng)從sslchina.com加載頁面，并且沒有人試圖模仿我。 瀏覽器驗證它收到的證書，以確保它是一個真正的證書而不是偽造的證書，證明它是由可信任的CA頒發(fā)的，并且該證書是發(fā)給sslchina.com的。 這是瀏覽器在建立安全連接時執(zhí)行的第一步，如果失敗，則不會再有任何事情發(fā)生

目前我們看到網(wǎng)絡(luò)加密的速度比歷史上的任何時候都要快，全站HTTPS正在取得令人驚嘆的進展，谷歌在去年公布了一組Chrome瀏覽器的數(shù)據(jù)，我們看到HTTPS網(wǎng)站的迅猛增長：

 

全站 HTTPS 已經(jīng)成為一種趨勢，并將最終成為所有網(wǎng)站的標(biāo)配。

 

Http協(xié)議更容易發(fā)生流量劫持

1、http易致在線應(yīng)用被劫持

網(wǎng)頁技術(shù)在近些年里有了很大的發(fā)展，但其底層協(xié)議HTTP始終沒有太大的改進，HTTP是一種使用了20 多年古老協(xié)議。在HTTP 里，一切都是明文傳輸?shù)模髁吭谕局锌呻S心所欲的被控制。而在線使用的WebApp，流量里既有通信數(shù)據(jù)，又有程序的界面和代碼，劫持簡直輕而易舉。因此，劫持網(wǎng)頁流量成了各路黑客們的鐘愛，一種可在任意網(wǎng)頁發(fā)起XSS的入侵方式。

2、HTTP 緩存投毒

HTTP這種簡單的純文本協(xié)議，幾乎沒有一種簽名機制，來驗證內(nèi)容的真實性。即使頁面被篡改了，瀏覽器也完全無法得知，甚至連同注入的腳本也一塊緩存起來。但凡具備可執(zhí)行的資源，都可以通過預(yù)加載帶毒的版本，將其提前緩存起來。

3、公共場合使用http，不登陸也會被劫持

在自己的設(shè)備上，大家都會記住各種賬號的登錄狀態(tài)，反正只有自己用，也沒什么大不了的。然而，在被劫持的網(wǎng)絡(luò)里，即使瀏覽再平常不過的網(wǎng)頁，或許一個悄無聲息的間諜腳本已暗藏其中，正偷偷訪問你那登錄著的網(wǎng)頁，操控起你的賬號了。

4、http狀態(tài)下Cookie 記錄或瀏覽器自動填表單，都會導(dǎo)致賬號密碼被截獲

http狀態(tài)下，cookie記錄的都是明文的賬號密碼，被劫持泄露后，即使數(shù)量不多，也能通過社工獲取到用戶的更多信息，最終導(dǎo)致更嚴(yán)重的泄露。

網(wǎng)站實現(xiàn)Https訪問能有效避免流量劫持

網(wǎng)站實現(xiàn)Https訪問能有效避免流量劫持，但前提是必須用受信任SSL證書。不同于簡單的Http代理，HTTPS 服務(wù)需要權(quán)威CA機構(gòu)頒發(fā)的SSL證書才算有效。自簽證書瀏覽器不認(rèn)，而且會給予嚴(yán)重的警告提示。而遇到“此網(wǎng)站安全證書存在問題”的警告時，大多用戶不明白是什么情況，就點了繼續(xù)，導(dǎo)致允許了黑客的偽證書，不受信任的HTTPS 流量因此遭到劫持。

如果重要的賬戶網(wǎng)站遇到這種情況，無論如何都不該點擊繼續(xù)，否則大門鑰匙或許就落入黑客之手。

 

全站實現(xiàn)Https訪問的重要性

• 情況一：從http頁面跳轉(zhuǎn)訪問https頁面

在 PC 端上網(wǎng)如果首先進入的網(wǎng)站是使用不安全的HTTP 協(xié)議。那么在該網(wǎng)站的頁面里注入XSS，屏蔽跳轉(zhuǎn)到 HTTPS 的頁面訪問，用HTTP 取而代之，那么用戶也就永遠無法進入安全站點了。盡管地址欄里沒有出現(xiàn) HTTPS 的字樣，但域名看起來也是正確的，大多用戶都會認(rèn)為不是釣魚網(wǎng)站，因此也就忽視了。

因此，只要入口頁是不安全的，那么之后的頁面再安全也無濟于事。

• 情況二：http頁面重定向到https頁面

有一些用戶通過輸網(wǎng)址訪問的，他們輸入了www.example.com 就敲回車進入了。然而，瀏覽器并不知道這是一個HTTPS 的站點，于是使用默認(rèn)的 HTTP 去訪問。不過這個HTTP 版的頁面的確也存在，其唯一功能就是重定向到自己HTTPS 站點上。

劫持流量的中間人一旦發(fā)現(xiàn)有重定向到HTTPS 站點的，于是攔下重定向的命令，自己去獲取重定向后的站點內(nèi)容，然后再回復(fù)給用戶。于是，用戶始終都是在HTTP 站點上訪問，自然就可以無限劫持了。

國外各大知名網(wǎng)站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過Always on SSL(全站https)技術(shù)措施來保證用戶機密信息和交易安全，防止會話攻擊和中間人攻擊。

 

 

證書頒發(fā)機構(gòu)起關(guān)鍵

一家證書頒發(fā)機構(gòu)（如 GlobalSign）的作用是給您簽發(fā)證書并安裝到站點。證書在整個過程中起著至關(guān)重要的作用，即認(rèn)證。 如果您在地址欄中輸入sslchina.com，然后按回車，當(dāng)頁面加載時，您可以確定您已經(jīng)從sslchina.com加載頁面，并且沒有人試圖模仿我。 瀏覽器驗證它收到的證書，以確保它是一個真正的證書而不是偽造的證書，證明它是由可信任的CA頒發(fā)的，并且該證書是發(fā)給sslchina.com的。 這是瀏覽器在建立安全連接時執(zhí)行的第一步，如果失敗，則不會再有任何事情發(fā)生