直面流量劫持,靠HTTPS可否避免?

来源:互联网 时间:2019-12-13

说起互联网,相信对于绝大多数人来说都是一个熟的不能再熟的词语,互联网无形却将全世界的民众紧密联系了起来。在互联网这个网络高速公路上,我们自由便捷地驰骋其中,其伟大神奇之处不言而喻,“秀才不出门,便知天下事”,不再是不切实际的梦想。小小的屏幕,成为了我们每个人与世界联系的桥梁。

但是在这一切便捷逍遥背后,我们同样对这些现象并不陌生:当我们想要在一个网站上面购买一件新衣服或者查看某家商店的客户评论时,该站的主页却迟迟无法载入,而且在等待载入期间,我们发现自己已经关闭了四个来路不明的弹窗,被重新定向到了另一家陌生网站。

这种情况下,试问大家谁会继续在这个网站上购物?谁会信任这样一个网站呢?自然不会有,退格键只会比谁都按得快。而这一切归根结底都是由于流量劫持所引起的。

  什么是流量劫持?

流量劫持是一种古老的攻击方式,比如早已见惯的广告弹窗等,很多人已经对此麻木,并认为流量劫持不会造成什么损失。而事实上,流量劫持可以通过多种你无法觉察的方式,暗中窃取帐号密码、谋财盗号。

 常见的流量劫持方式

Hub 嗅探

MAC 欺骗

MAC 冲刷

ARP 攻击

DHCP 钓鱼

DNS 劫持

CDN 入侵

路由器弱口令

路由器 CSRF

PPPoE 钓鱼

PPPoE 钓鱼

WiFi 弱口令

WiFi 伪热点

WiFi 强制断线

WLAN 基站钓鱼

 HTTP协议下更容易发生流量劫持

网页技术在近些年里有了很大的发展,但其底层协议始终没有太大的改进 —— HTTP,一种使用了 20 多年古老协议。在HTTP 里,一切都是明文传输的,流量在途中可随心所欲的被控制。在自己的设备上,大家都会记住各种账号的登录状态,反正只有自己用,也没什么大不了的。然而,在被劫持的网络里,即使浏览再平常不过的网页,或许一个悄无声息的间谍脚本已暗藏其中,不登录也会被劫持,操控起你的账号了。

 HTTPS能避免流量劫持吗?

能!但前提是必须用受信任的SSL证书。

不同于简单的HTTP代理,HTTPS 服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认,而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时,大多用户会选择关闭页面,所以网站证书需要选择权威CA机构颁发。

这里所说的权威CA机构是指已经通过WebTrust国际认证,根证书由微软预置,受微软等各类操作系统、主流移动设备和浏览器信任的CA机构;在中国还要附加一项,就是要拿到工信部许可的CA牌照;这样的CA机构,才有权利签发各类数字证书。

北京天威诚信电子商务服务有限公司是国家授牌CA认证机构,专业从事数字证书等技术和产品服务,服务于阿里巴巴、百度、腾讯、京东、联想、金山、中行、工行、建行等全行业超95%的大客户,覆盖超10亿网民。拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供最优质的本地化服务与技术支持。

 除此之外,SSL证书还包括以下五点好处

  1. 提升企业形象

如果企业网站安装了一个由权威证书签发机构签发的SSL证书,不仅能凸显网站的专业性,而且还能提升网站访问者的信任度。当然,如果部署的是EV SSL证书,还会显示绿色地址栏和单位名称,告诉用户其访问的是安全、可信的站点,大大提升企业的形象和可信度。

 2.提升网站访问者的信任度

如果你的网站需要使用个人信息来登录,那么你必须要安装SSL证书,访问者看到他们的个人信息能够被很好地保护,肯定会加深对网站的信任。

 3.吸引更多的顾客

如果你的网站是在线销售网站,如果安装了SSL证书,肯定会吸引更多的顾客前来购买并且付款的,如果连最基本的保障都没有,又怎么会有顾客愿意来购买呢?

 4.增加销售业绩

如果你使用了一套比较好的支付系统,那么它会为你的客户提供SSL。当然,最好我们应该安装自己的SSL证书才会有更好的保障。

 5. 识别假冒网站

由于SSL证书可以认证服务器真实身份,因此,它能有效的区别假冒钓鱼网站和官方网站。同时,企业网站安装SSL证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,从而让用户轻松验证网站真实身份,识别欺诈、钓鱼等假冒网站。

相关文章

标签:

A5创业网 版权所有