編者注：開放內(nèi)容不需要加密？不，業(yè)界不這么認為。事實上，Chromium安全團隊一直在推進HTTPS，其目標是加密這些公開數(shù)據(jù)。大多數(shù)外國網(wǎng)站已經(jīng)開始使用HTTPS，包括Facebook和白宮，除了百度之外，這個國家還沒有普及。作為Opera十年代歌曲@羅志宇的作者，Opera是Chromium安全組的成員，他將講述安全鏈接（https）背后的故事。

　　HTTPS 是什么?

如果您甚至不了解HTTPS，可以先查看本文。

簡而言之，HTTPS是過度加密的HTTP。這樣，由于網(wǎng)絡上傳輸?shù)臄?shù)據(jù)是加密的，因此在瀏覽網(wǎng)頁時，除了可以看到您正在查看的頁面外，第三方無法知道您在做什么。

保護私人數(shù)據(jù)實際上是HTTPS在過去十年中發(fā)揮的最大作用。

例如，如果您登錄到您的電子郵件地址或網(wǎng)上銀行，一旦您使用HTTPS，數(shù)據(jù)就不再是互聯(lián)網(wǎng)上的純文本，因此第三方將看不到您的密碼和您的電子郵件。這就是過去十年來，HTTPS一直被用于隱私領域，例如郵箱和財務。

　　HTTP怎么了?

幾年前，一位挪威同事剛從谷歌的會議中回來。我在走廊里遇見了他，看著他看起來很沮喪。他問道，“你和谷歌打算做什么？”

挪威同事嘆了口氣：“谷歌的尼瑪在5年后生活了?！?

那時，我年輕無知。我仍然無法理解這句話的真正含義。在我最近加入Chromium安全討論小組之前，我并不真正理解這句話背后的動力。

基本上，Chromium Security Discussion Group充滿了以下主題：

我們必須馬上消除SHA-1！因為SHA-1強度太低。雖然預計它將在幾年后破解，但我們今天將消除它。

將SSL狀態(tài)置于HTTP緩存上可能會受到攻擊，需要立即更改！

TLS DH組的大小應該增加到至少1024位，因為INRIA，微軟研究院，John的Hopkin大學已經(jīng)證明低強度TLS DH組不安全。

人們證明512位不安全，估計768位被大學級資源破解。你可以得到至少1024位，并給你無法生存。 ——

我們針對用于TLS的最常見的512位素數(shù)執(zhí)行此計算，并證明Logjam攻擊可用于將連接降級到支持DHE_EXPORT的80％的TLS服務器。我們進一步估計，一個學術團隊可以打破一個768位的Prime，一個民族國家可以打破一個1024位的素數(shù)。

（我們可以使用此計算來破解使用512位主要加密的TLS鏈接。它還表明Logjam攻擊可用于將鏈接降級到支持DHE_EXPORT的80％TLS服務器。我們進一步估計一個學術團隊掌握資源知識，有可能破解一個768位的素數(shù)，一個國家的力量可能破解一個1024位的素數(shù)。）

好吧，谷歌兄弟們的想法很遠。

每天都有一個安全小組，這不是一件壞事。當Flash最近破壞了0天漏洞時，Chromium安全組在兩年前警告說，像Flash這樣的NPAPI插件存在安全問題，這表明安全組。同學們?nèi)匀环浅Ｓ邢纫娭?。我在雷鋒網(wǎng)絡欄目中提到過關于NPAPI插件的問題：谷歌Chrome禁止Flash？少年，你不認真嗎？

與神經(jīng)元生活在同一個未來的安全組最近發(fā)布了第二季度摘要：TOC-Q2-2015

　　今天就講講里面一個很有意思的東西：

安全組的學生表示，我們認為（完全）轉(zhuǎn)向HTTPS是確保安全的唯一方法。呼吁所有人轉(zhuǎn)向HTTPS：

我們將遷移到HTTPS視為任何安全的基礎，因此我們積極致力于在Google和整個互聯(lián)網(wǎng)上推動#MOARTLS。

事實上，這個聲明在第一季度已經(jīng)被打破了一次。在第二季度報告中，它實際上再次被放入。

事實上，如果你注意一點，你會發(fā)現(xiàn)許多外國網(wǎng)站已經(jīng)開始這么做了。

例如，在瀏覽器中輸入www.google.com，您會看到：

或者facebook.com：

即使是白宮也將是：

請注意，綠色https不是，因為即使您不寫https，目標站點也會自動跳轉(zhuǎn)到https。

比較國內(nèi)網(wǎng)站，如qq.com，沒有這樣的行為：

我觀察到百度應被視為國內(nèi)強制使用https之一：

　　為了安全，轉(zhuǎn)向HTTPS?

什么！發(fā)生了什么？為什么你突然放棄HTTP對HTTPS的全部承諾？谷歌仍在推動它，建議將每個網(wǎng)站都改為HTTPS！

請注意，HTTP已存在近20年。對于大多數(shù)站點而言，從HTTP遷移到HTTPS是一個重大決策：

HTTPS需要比HTTP更多的硬件，這意味著更多的開銷，更大的開銷意味著更多的錢購買服務器。其他架構(gòu)的成本可能沒有必要。

　　一定是發(fā)生了什么?!

但是看白宮網(wǎng)站不應該被視為隱私。為什么這也要求HTTPS傳輸？

原因?qū)嶋H上是：HTTP這個協(xié)議誕生于一個無辜的時期，近年來已經(jīng)被一群黑客徹底毀掉了。

1.黑客發(fā)現(xiàn)HTTP純文本不僅傳輸泄漏數(shù)據(jù)，而且還易于注入數(shù)據(jù)。

當萬維網(wǎng)誕生時，它并沒有浮現(xiàn)在腦海中。用于檢查數(shù)據(jù)的網(wǎng)絡最終將成為一個全能的平臺。越來越多的商業(yè)行為已從離線轉(zhuǎn)向在線。許多公司開始在網(wǎng)上銷售產(chǎn)品，銷售內(nèi)容，銷售服務和做廣告。

一群黑客突然發(fā)現(xiàn)雖然有些東西是以純文本形式在互聯(lián)網(wǎng)上傳播的，但它沒有多大意義，但我可以修改內(nèi)容或添加內(nèi)容。這有點像郵遞員每天遞送明信片，雖然明信片的內(nèi)容似乎沒有用。突然有一天，郵遞員想，其實我也可以修改明信片的內(nèi)容，例如添加一個“明信片”。請立即匯款到XX賬戶5000元“等等。

　　下面是個很典型的截圖：

在圖中，運營商的包裹銷售實際上不是原始網(wǎng)頁的內(nèi)容，而是當網(wǎng)頁數(shù)據(jù)通過運營商服務器時強制注入的數(shù)據(jù)。

在這種情況下，該行業(yè)被稱為“交通劫持”。

作為白宮網(wǎng)站，他們當然不希望奧巴馬的頁面上的頭像通過某個網(wǎng)絡節(jié)點，他們將被本拉登所取代。

然后是HTTPS。

2，HTTP不僅內(nèi)容未加密，協(xié)議本身（原語，標題數(shù)據(jù)）也未加密，因此協(xié)議指令本身也可能被修改

黑客：協(xié)議沒有加密，所以不要因為花哨破解而責怪我。

事實上，HTTP協(xié)議已被黑客入侵。例如，傳說中的“緩存中毒”

一系列花哨的技巧使您的瀏覽器緩存永遠不會更新。什么！服務器上的股票價格是否跌破限制？但你看不到它，因為你的緩存無法更新......

3.如果上述信息不夠強大，最后會給你一個更生動的：HTTP傳輸網(wǎng)頁中系統(tǒng)設備的授權是統(tǒng)一的。

想象一下，用戶訪問需要訪問手機上相機的視頻聊天網(wǎng)站的情況，瀏覽器會詢問用戶是否同意授權。用戶選擇同意。但是，我從未想過黑客在通過網(wǎng)絡節(jié)點時將該頁面注入腳本中（因為它以明文形式傳輸，注入只需幾分鐘）。此時，注入的腳本位于瀏覽器的視圖中，因為它已經(jīng)是原始網(wǎng)頁的一部分，它可以自動訪問攝像機。

因此，當您與某人進行視頻聊天時，您剛剛注入的腳本可以秘密地將您的笑容上傳到黑客的服務器。

其后果當然取決于聊天內(nèi)容，但我親眼目睹了陳老師的一大浪潮。 。

您的麥克風，當前位置信息，甚至手機上的照片等都可能發(fā)生同樣的情況。例如，陳老師是這樣的：

經(jīng)過各種修復和修復的嘗試，各大行業(yè)的玩家終于意識到硬件的當前水平和價格，既然使用HTTPS根本不是問題，那么完全轉(zhuǎn)向HTTPS是唯一的出路。

我相信很快每個人都會看到越來越多使用HTTPS的網(wǎng)站。與此同時，國內(nèi)網(wǎng)站管理員，如果遇到上述問題，HTTPS可能是個不錯的選擇。作為用戶，如果您有選擇，請嘗試選擇支持HTTPS的網(wǎng)站。

這里有人可能會問，如果你使用HTTPS，那么你就不能進行網(wǎng)絡監(jiān)控，那么我們長城的敏感部分就不是......（嘿，這次我沒寫的時候）

PS：HTTP HTTP/2的下一個版本已經(jīng)可以帶來自己的加密，但協(xié)議本身需要一段時間才能升級，因此網(wǎng)頁傳輸加密主要基于HTTPS。

« 《堡壘之夜》不久《復聯(lián)》武器超級英雄目前美國隊雷神和鋼鐵俠！ | TYLOO電子競技俱樂部《CSGO》教練Johnta宣布離職！ »