在 Google 眼中,所有的 HTTP 網站都不安全

作者 | 發布日期 2014 年 12 月 22 日 8:49 | 分類 網路 , 資訊安全
5496595aa4505

Google 正在推動整個網際網路由 HTTP 協定往 HTTPS 協定過渡,這項工作由 Google 搜尋和 Chrome 瀏覽器打頭陣。




2014 年 4 月,WSJ 一份報告指出,Google 在其搜尋服務的結果排序上開始考慮「加密」因素,如果某些網站啟用 HTTPS 加密,它將獲得比平時更高的排名。在此之前,Google 一直宣傳搜尋結果排序僅考慮「品質」和「體驗」。

2014 年 8 月,Google 宣布將「加密」正式作為搜尋結果排序的影響因子。這將有一段寬限期,目前「加密」因素的影響力還很微小,但隨著時間增加,它會越來越高,直至所有網站都切換到加密模式(HTTPS)。

2014 年 12 月,Chrome 瀏覽器團隊發起提議,建議大家對網址列的網址是否加密進行明顯標記。這份提議希望,在經過過渡期後,加密的網址(HTTPS)正常顯示,非加密網站(HTTP)將提示「不安全」。

Google 希望推動的 HTTPS 協定,是 HTTP 協定的安全版本。HTTP 是在網路上使用最為廣泛的一項網路協定,它用於客戶端和使用端之間傳遞訊息,其最著名的應用是瀏覽器,我們平常上網用的 IE、Chrome、Firefox 瀏覽器就有賴於它才能工作。

HTTP 傳輸的內容是不加密的,你上網瀏覽過、提交過的內容,所有在後台工作的人,比如路由器的所有者、網線途徑路線的不明意圖者、電信公司、電信營運骨幹網路等都能夠查看。如果你存取的是國外網站,那麼還得加上國際寬頻、國外電信營運商等。這串名單可以不斷延伸,直到你對網路由崇拜轉為恐懼。

 

HTTPS 讓使用者多點隱私

HTTPS 在 HTTP 的下層添加了加密功能,通過 HTTPS 協定傳輸的內容,除非上述這條網路的參與者提前準備,否則傳輸過的訊息是基本不可能被解密的。而提前準備,攻擊難度也非常高。

這是 Google 希望網路 HTTPS 化、乃至於提出「HTTP = 不安全」口號的原因,過去數年裡,我們一直生活在不加密時代,上網的所有痕跡都暴露在巨型機構眼中。

美國 NSA 利用 Google 服務產生的 cookie 來精確定位他們懷疑的任何一位嫌疑人的上網痕跡;Verizon 在其銷售的電信客製機上追蹤使用者上網紀錄;康斯卡特與中國所有的寬頻營運商們無差別的對使用者瀏覽的網頁實行 JS 注入,在頁面上廣告彈窗;以及那座「不世之作」,由海量思科設備堆起來的「寬頻出口防火牆」。

在它們面前,我們其實並無隱私可言,不分國籍、不限地域。

但升級 HTTPS 亦是大難題,它意味著基礎設施、網路架構、底層服務提供商發生變化。HTTPS 被稱作暫存終結者、性能殺手,僅僅 Google 一家,很難推動大家去做改變。

特別是,還有觀念上的變化,那些漠視使用者隱私的國度裡,誰來承當 Google 的角色呢?指望那家連 HTTPS 網站都不收錄的百度?

(本文由雷鋒網授權轉載) 

關鍵字: , ,

發表迴響