编者注：开放内容不需要加密？不，业界不这么认为。事实上，Chromium安全团队一直在推进HTTPS，其目标是加密这些公开数据。大多数外国网站已经开始使用HTTPS，包括Facebook和白宫，除了百度之外，这个国家还没有普及。作为Opera十年代歌曲@罗志宇的作者，Opera是Chromium安全组的成员，他将讲述安全链接（https）背后的故事。

　　HTTPS 是什么?

如果您甚至不了解HTTPS，可以先查看本文。

简而言之，HTTPS是过度加密的HTTP。这样，由于网络上传输的数据是加密的，因此在浏览网页时，除了可以看到您正在查看的页面外，第三方无法知道您在做什么。

保护私人数据实际上是HTTPS在过去十年中发挥的最大作用。

例如，如果您登录到您的电子邮件地址或网上银行，一旦您使用HTTPS，数据就不再是互联网上的纯文本，因此第三方将看不到您的密码和您的电子邮件。这就是过去十年来，HTTPS一直被用于隐私领域，例如邮箱和财务。

　　HTTP怎么了?

几年前，一位挪威同事刚从谷歌的会议中回来。我在走廊里遇见了他，看着他看起来很沮丧。他问道，“你和谷歌打算做什么？”

挪威同事叹了口气：“谷歌的尼玛在5年后生活了。”

那时，我年轻无知。我仍然无法理解这句话的真正含义。在我最近加入Chromium安全讨论小组之前，我并不真正理解这句话背后的动力。

基本上，Chromium Security Discussion Group充满了以下主题：

我们必须马上消除SHA-1！因为SHA-1强度太低。虽然预计它将在几年后破解，但我们今天将消除它。

将SSL状态置于HTTP缓存上可能会受到攻击，需要立即更改！

TLS DH组的大小应该增加到至少1024位，因为INRIA，微软研究院，John的Hopkin大学已经证明低强度TLS DH组不安全。

人们证明512位不安全，估计768位被大学级资源破解。你可以得到至少1024位，并给你无法生存。 ——

我们针对用于TLS的最常见的512位素数执行此计算，并证明Logjam攻击可用于将连接降级到支持DHE_EXPORT的80％的TLS服务器。我们进一步估计，一个学术团队可以打破一个768位的Prime，一个民族国家可以打破一个1024位的素数。

（我们可以使用此计算来破解使用512位主要加密的TLS链接。它还表明Logjam攻击可用于将链接降级到支持DHE_EXPORT的80％TLS服务器。我们进一步估计一个学术团队掌握资源知识，有可能破解一个768位的素数，一个国家的力量可能破解一个1024位的素数。）

好吧，谷歌兄弟们的想法很远。

每天都有一个安全小组，这不是一件坏事。当Flash最近破坏了0天漏洞时，Chromium安全组在两年前警告说，像Flash这样的NPAPI插件存在安全问题，这表明安全组。同学们仍然非常有先见之明。我在雷锋网络栏目中提到过关于NPAPI插件的问题：谷歌Chrome禁止Flash？少年，你不认真吗？

与神经元生活在同一个未来的安全组最近发布了第二季度摘要：TOC-Q2-2015

　　今天就讲讲里面一个很有意思的东西：

安全组的学生表示，我们认为（完全）转向HTTPS是确保安全的唯一方法。呼吁所有人转向HTTPS：

我们将迁移到HTTPS视为任何安全的基础，因此我们积极致力于在Google和整个互联网上推动#MOARTLS。

事实上，这个声明在第一季度已经被打破了一次。在第二季度报告中，它实际上再次被放入。

事实上，如果你注意一点，你会发现许多外国网站已经开始这么做了。

例如，在浏览器中输入www.google.com，您会看到：

或者facebook.com：

即使是白宫也将是：

请注意，绿色https不是，因为即使您不写https，目标站点也会自动跳转到https。

比较国内网站，如qq.com，没有这样的行为：

我观察到百度应被视为国内强制使用https之一：

　　为了安全，转向HTTPS?

什么！发生了什么？为什么你突然放弃HTTP对HTTPS的全部承诺？谷歌仍在推动它，建议将每个网站都改为HTTPS！

请注意，HTTP已存在近20年。对于大多数站点而言，从HTTP迁移到HTTPS是一个重大决策：

HTTPS需要比HTTP更多的硬件，这意味着更多的开销，更大的开销意味着更多的钱购买服务器。其他架构的成本可能没有必要。

　　一定是发生了什么?!

但是看白宫网站不应该被视为隐私。为什么这也要求HTTPS传输？

原因实际上是：HTTP这个协议诞生于一个无辜的时期，近年来已经被一群黑客彻底毁掉了。

1.黑客发现HTTP纯文本不仅传输泄漏数据，而且还易于注入数据。

当万维网诞生时，它并没有浮现在脑海中。用于检查数据的网络最终将成为一个全能的平台。越来越多的商业行为已从离线转向在线。许多公司开始在网上销售产品，销售内容，销售服务和做广告。

一群黑客突然发现虽然有些东西是以纯文本形式在互联网上传播的，但它没有多大意义，但我可以修改内容或添加内容。这有点像邮递员每天递送明信片，虽然明信片的内容似乎没有用。突然有一天，邮递员想，其实我也可以修改明信片的内容，例如添加一个“明信片”。请立即汇款到XX账户5000元“等等。

　　下面是个很典型的截图：

在图中，运营商的包裹销售实际上不是原始网页的内容，而是当网页数据通过运营商服务器时强制注入的数据。

在这种情况下，该行业被称为“交通劫持”。

作为白宫网站，他们当然不希望奥巴马的页面上的头像通过某个网络节点，他们将被本拉登所取代。

然后是HTTPS。

2，HTTP不仅内容未加密，协议本身（原语，标题数据）也未加密，因此协议指令本身也可能被修改

黑客：协议没有加密，所以不要因为花哨破解而责怪我。

事实上，HTTP协议已被黑客入侵。例如，传说中的“缓存中毒”

一系列花哨的技巧使您的浏览器缓存永远不会更新。什么！服务器上的股票价格是否跌破限制？但你看不到它，因为你的缓存无法更新......

3.如果上述信息不够强大，最后会给你一个更生动的：HTTP传输网页中系统设备的授权是统一的。

想象一下，用户访问需要访问手机上相机的视频聊天网站的情况，浏览器会询问用户是否同意授权。用户选择同意。但是，我从未想过黑客在通过网络节点时将该页面注入脚本中（因为它以明文形式传输，注入只需几分钟）。此时，注入的脚本位于浏览器的视图中，因为它已经是原始网页的一部分，它可以自动访问摄像机。

因此，当您与某人进行视频聊天时，您刚刚注入的脚本可以秘密地将您的笑容上传到黑客的服务器。

其后果当然取决于聊天内容，但我亲眼目睹了陈老师的一大浪潮。 。

您的麦克风，当前位置信息，甚至手机上的照片等都可能发生同样的情况。例如，陈老师是这样的：

经过各种修复和修复的尝试，各大行业的玩家终于意识到硬件的当前水平和价格，既然使用HTTPS根本不是问题，那么完全转向HTTPS是唯一的出路。

我相信很快每个人都会看到越来越多使用HTTPS的网站。与此同时，国内网站管理员，如果遇到上述问题，HTTPS可能是个不错的选择。作为用户，如果您有选择，请尝试选择支持HTTPS的网站。

这里有人可能会问，如果你使用HTTPS，那么你就不能进行网络监控，那么我们长城的敏感部分就不是......（嘿，这次我没写的时候）

PS：HTTP HTTP/2的下一个版本已经可以带来自己的加密，但协议本身需要一段时间才能升级，因此网页传输加密主要基于HTTPS。

« 《堡垒之夜》不久《复联》武器超级英雄目前美国队雷神和钢铁侠！ | TYLOO电子竞技俱乐部《CSGO》教练Johnta宣布离职！ »