为何HTTPS是流量劫持最佳的解决方案?揭密流量劫持的原理

2018-03-28 15:18  来源:新辉网  评论:  点击:
说起流量劫持,大家应该都不陌生,尤其是喜欢网购的。几乎每一个用户都遇到过,用手机打开的网页被中国移动或联通或电信,强行插入业务订购菜单或非法弹窗广告,哪怕是在微信里打开的页面也在劫难逃。这些莫名其妙的菜单和弹窗广告,严重影响了用户正常使用。
为何HTTPS是流量劫持最佳的解决方案?揭密流量劫持的原理

说起流量劫持,大家应该都不陌生,尤其是喜欢网购的。所谓流量劫持,就是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站。

没有全站HTTPS,你很可能被“劫持”。这绝不是危言耸听。

最近,家住北京的张先生很恼火,家里的电脑手机好像是在跟自己对着干。只要用电脑打开网页就会发现弹出各种广告,用手机打开客户端也是如此。弹窗广告不仅影响正常的浏览,而且很多内容也“不堪入目”。实际上,张先生是遭到了第三方的“流量劫持”。

“流量劫持”是啥?什么是网络流量劫持?

流量劫持”是什么?跟普通市民有什么关系?在如今的互联网时代,若不了解“流量劫持”,不论是公司还是个人,都有可能吃大亏!“流量劫持”有多么可怕,我们到底该如何防范。

>>新闻事件

六公司声明抵制流量劫持

据新华网2015年12月26日报道,微博、今日头条、美团大众点评网、360、腾讯、小米科技等六家互联网公司发表了关于抵制流量劫持等违法行为的联合声明,呼吁有关运营商严厉打击“流量劫持”。

声明称,六公司已认定目前普遍存在的劫持和偷卖流量等行为跟某些机构有关,并掌握了多项证据,已向有关监管部门报案。

而放任“流量劫持”将带来以下严重后果:首先,遵守市场规则的公司商誉和利益被严重伤害;其次,用户流量被劫持,等于用户不能得到约定服务;第三,劫持流量者提供的信息服务脱离监管,甚至可能传播诈骗、色情等低俗甚至严重违法信息。

大陆首例“流量劫持”刑案

据中新网2015年11月10日报道,上海市浦东新区法院判决了大陆首起“流量劫持”刑案,两名被告人付某、黄某被判处有期徒刑3年,缓刑3年。

被告人付某,陕西籍,高中文化;被告人黄某,广东籍,大学文化。从2013年底至2014年10月,付某、黄某等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时,跳转至其设置的“5w.com”导航网站。两人再将获取的互联网用户流量出售给“5w.com”导航网站所有者、杭州久尚科技有限公司。经查,两名被告人短时间内违法所得高达75.47万余元人民币。

流量劫持是一种古老的网络攻击手段,在沉寂了一大段时间后,最近又开始闹的沸沸扬扬。众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道。只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改,互联网一夜间似乎变得岌岌可危。

攻击还是那几种攻击,报道仍是那千篇一律的砖家安全提醒,以至于大家都麻木了。早已见惯运营商的各种劫持,频繁的广告弹窗,大家也无可奈何。这么多年也没出现过什么损失,也就睁只眼闭只眼。

事实上,仅仅被运营商劫持算是比较幸运了。相比隐匿在暗中的神秘黑客,运营商作为公众企业还是得守法的,弹窗广告劫持虽无节操但还是有底线的。这不,能让你看见广告了,也算是在提醒你,当前网络存在被劫持的风险,得留点神;相反,一切看似风平浪静毫无异常,或许已有一个天大的间谍潜伏在网络里,随时等你上钩 —— 这可不是弹广告那样简单,而是要谋财盗号了!

HTTPS HTTPS站点 https数据加密

各大网站全站启用HTTPS,是运营商干的“好事”?真的是好事,不加引号的好事。

你可能没有注意到,用百度搜索时,浏览器地址栏里的 http 已经成为永远的过去时,接棒的是更安全的 https。这家中国最大的搜索引擎,于2015年3月份做出了一个重要的决定——全站强制启用 https 连接。此时距离 Google 做这件事,过去了1年半。

无独有偶。同年10月14日,杭州云栖大会上,阿里巴巴宣布旗下电商平台已实现全站 https。环球网的报道称,“阿里巴巴已经成为全球首家支持全站HTTPS的电商公司。与之形成鲜明反差的是一些电商网站,如京东、亚马逊等仅仅是在登录或交易页面启用了 https。对于用户来说,这种处理方式更像是‘隔靴搔痒’。”

细心的朋友可能会发现,2015年末2016年初这段时间,除了百度、阿里,像知乎这样前沿的技术公司也开始转向全站 https 连接——网址前增加了一个小锁样式的图标。对于一般用户来说,这把小锁既熟悉又陌生:熟悉是因为在各大网站的登录和交易页面经常见到,陌生是因为日常访问的大部分网站并不会上锁。

毫无疑问,上锁是为了安全,上锁是未来趋势,上锁的网站更受搜索引擎待见。但是,万万没想到,在国内网络环境中,对安全最大的威胁居然是来自让互联网公司敢怒不敢言的运营商。2015年12月25日,腾讯、小米、360、今日头条、美团大众点评网、微博六家公司发布联合声明,共同呼吁打击流量劫持问题。声明中虽然只敢说“某些机构”劫持流量,但业内人士都知道“某些机构”是谁以及他们有多么大胆地耍流氓。

HTTPS HTTPS站点 https数据加密

几乎每一个用户都遇到过,用手机打开的网页被中国移动或联通或电信,强行插入业务订购菜单或非法弹窗广告,哪怕是在微信里打开的页面也在劫难逃。这些莫名其妙的菜单和弹窗广告,不仅严重影响了用户正常的浏览体验,而且让用户感到困惑,担心自己的隐私被正在访问的网站泄露。并不是所有人都知道,实际上这些内容是运营商公然在别人的网站里注入自己的代码才实现的。

业内人士在网络上抱怨,“2015年下半年开始,运营商劫持流量已经到了骇人听闻的地步,难以相信某家全国知名网站的百分之多少流量被劫持,难以相信超过50%的用户投诉电话是因为运营商干的好事。”恐怕更难以置信的是,某运营商将这项业务命名为 ipush 推送广告,明目张胆地招商,吸引广告主。

在知乎问题“为什么 2015 年底各大网站都纷纷用起了 HTTPS?”之下,知乎用户何明科用通俗的语言解释了 http 与 https 的区别,也道出了互联网公司的无奈。

互联网公司好比淘宝商家,运营商好比快递公司,用户好比需要剁手的买家。而且快递公司还是垄断的,全国没几家可以选择。以前用http协议的时候,等于互联网公司给用户寄货,但随便选个包装然后让运营商配送给用户。运营商公司为了自己的利益,把包装拆开,在里面塞满了各种广告。甚至有可能,用户就买本书,结果包装里被运营商塞了整整一箱传单或者小卡片送了过去。甚至可能是下面的这种卡片。

HTTPS HTTPS站点 https数据加密

现在开始使用https协议了,互联网公司给用户寄货,不过这次选了一个保险箱给与用户寄货,开箱密码通过另外的渠道告诉用户,然后让运营商给用户配送过去。虽然这样成本高了很多,但是终于安全了。

几名来自一线互联网公司的技术人员,对此有着类似的看法:运营商耍流氓行为越来越严重,是国内各大网站纷纷全面转向 https 技术的最大推动力。这项为保护网站数据安全而生的技术,成为中国互联网公司对运营商威胁网站安全和自身利益的反击。与此同时,技术的成熟和技术实现成本的降低,也在客观上促进了全站 https 技术的普及。

就这样,运营商干了件好事,促使更多大中型互联网公司下决心改造网站架构,修建早就该动工的防御工事,抵御心怀不轨的流氓运营商,也抵御未来可能出现的非法入侵者。

最后告诉大家一个秘密,据说在手机上使用流量上网的时候,搜索一下“被运营商劫持了怎么办”,即可免除运营商强插广告,不少网友表示确实有效。原因呢?或许是因为良心尚存的一些地方运营商,故意留下了这个 bug 吧。

防护全面升级 拒绝流量劫持:淘宝、天猫全站启用HTTPS

说起流量劫持,大家应该都不陌生,尤其是喜欢网购的。所谓流量劫持,就是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站。

这不但会导致用户无法顺利访问目标网站,还会偷跑用户流量、窃取用户隐私、诱导访问“钓鱼网站”、盗窃账号密码,而电商网站往往是流量劫持的重点“照顾对象”。

拒绝流量劫持:淘宝、天猫全站启用HTTPS

目前,Google、Facebook等大型互联网公司均已宣布支持全站HTTPS,而阿里巴巴旗下淘宝、天猫、1688等电商平台及其移动客户端,也已经正式在全站启用HTTPS。

阿里巴巴也由此成为国内第一家支持全站HTTPS的电商公司,而京东、亚马逊等仅仅是在登录或交易页面启用了HTTPS,可在一定程度上保护账户安全,但无法抵御流量劫持。

拒绝流量劫持:淘宝、天猫全站启用HTTPS

拒绝流量劫持:淘宝、天猫全站启用HTTPS

国家层面也在积极推动立法,加大对流量劫持等行为的打击力度,例如2015年11月,上海就判决了国内首起流量劫持刑事案件,两名被告人被判处有期徒刑3年、缓刑3年,不过法规健全总是需要时间,同时也需要互联网服务供应商自己行动起来。

从技术角度看,全站HTTPS是目前抵御流量劫持最佳的安全解决方案。支持该协议的网站都会在浏览器地址栏以绿色标注,用户可以放心浏览。

拒绝流量劫持:淘宝、天猫全站启用HTTPS

HTTPS怎么保护用户安全?

简单来说,HTTPS是通过加密传输来更好地保护用户的个人隐私和账户资金,那么具体是怎么做的呢?这里用快递包裹来形象地描述一下。

首先是数据保密性。

HTTPS能保证内容在传输过程中不会被第三方知晓。这就好像你去发快递的时候,将物品封装得严严实实,并且在封口处贴上快递单,别人就无法知道包裹里面是什么。

其次是数据完整性。

HTTPS能及时发现被“中间人”或者黑客篡改的传输内容。如果快递给你的包裹在运输途中被调包或者有损坏,你就能够轻松发现并拒绝签收。

最后是身份校验。

HTTPS能保证数据到达用户期望的目的地。每件需要快递的包裹均会有详细的送达地址,以保证其不会被送错地方。

拒绝流量劫持:淘宝、天猫全站启用HTTPS

 

https和http的新区别:有无谷歌的“不安全”标签

去年1月29日消息,谷歌曾明确表示,使用HTTPS协议的站点将优先在搜索结果中展示。在近日(25日至27日)举行的Usenix Enigma安全大会上,谷歌再次“上升”了HTTPS站点的地位:打算给未使用HTTPS协议的站点(即HTTP站点)打上“不安全”的标签。

本月25-27日,第十四届的Usenix Enigma安全大会在旧金山召开,会上谷歌表示“未来的网络都应该是安全的、经过加密的,所有的HTTP站点都应该被打上【不安全】的标签”,并表示“要将其付诸实践”。

目前,当用户通过Chrome浏览器访问HTTPS站点时,会在地址栏前显示一个绿色的锁,表示该网站是安全的https站点。而访问未采用HTTPS协议的站点(即HTTP站点)时,则是显示一个空白页标签。

HTTPS站点 谷歌搜索排名 网站优化 https和http有什么区别 https数据加密

访问HTTPS站点 新辉网配图

HTTPS站点 谷歌搜索排名 网站优化 https和http有什么区别 https数据加密

访问http站点 新辉网配图

谷歌并未明确实行该计划的具体时间。但表示一旦该计划实行后,用户通过Chrome浏览器访问http站点时,地址栏前会出现如下提示:

HTTPS站点 谷歌搜索排名 网站优化 https和http有什么区别 https数据加密

未来访问http站点的提示

实际上,早在2014年,Chrome团队的相关人员便提出了这项建议,时隔一年多才正式公开这一提案,谷歌表示“这是为了更直观的向用户展示【HTTP无法保证数据的安全性】这一理念”。

文章转载请注明来自天晟网络 > 建站经验 > 建站经验 >
标题:为何HTTPS是流量劫持最佳的解决方案?揭密流量劫持的原理
网址:http://www.timsion.com/web_exp/28238.html

关键词:流量劫持 HTTPS 全站HTTPS 流量劫持

上一篇:三分钟教你挖掘出9个亿的5位数QQ号,QQ大数据的神秘技能
下一篇:互联网时代向苹果学习 简单才是最大的进步

免责声明:以上内容来自互联网和用户投稿,不代表本站的观点和立场,版权归原作者所有,如有侵权,请与我们联系。