艾谷——为什么小程序需要关注HTTPS
服务项目 |
小程序 |
面向地区 |
全国 |
软件类型 |
服务行业软件 |
小程序要求通过 HTTPS 完成与服务端通信,若选择自行搭建 HTTPS 服务,那需要自行 SSL 证书申请、部署,完成 https 服务搭建,效率低流程冗长;且 HTTPS 的 SSL 加解析,对服务器的CPU 有的开销。
为什么要接入 HTTPS—HTTP 的安全风险
HTTP 协议是一个非常简单和的协议,互联网大部分的主流应用默认都是使用的HTTP。由于性能和上个世纪 90 年代使用环境的限制,HTTP 协议本身并不是一个为了安全设计的协议,既没有身份认证,也没有一致性检验,头疼的是,HTTP 所有的内容都是明文传输的。
另外一方面,互联网的发展也是日新月异,各种 HTTP 应用不断地渗透到人们生活的方方面面。不管是社交、购物、金融、游戏、还是搜索,这些 HTTP 服务都能带给人们的便捷,提升生活质量和效率。
显然,HTTP 和人们生活及经济利益密切相关,遗憾的是,它不安全。也就意味着这里一 定潜藏着的安全隐患。这些隐患又集中表现在如下两方面:
1、隐私泄露
由于 HTTP 本身是明文传输,用户和服务端之间的传输内容都能被中间者查看。也就是说 你在网上搜索、购物、访问的网点、点击的页面等信息,都可以被「中间人」获取。由于国人大多不太重视隐私的保护,这里的风险比较隐性,伤害后果也不太好定量评估。已知的一些比较严重的隐私泄露事件包括:
1、 登陆态被不法分子窃取,然后在异地登陆,进行广告和欺诈行为。
2、用户手机号和身份信息泄露。
3、用户网上行为泄露。比如搜索了一所医院,很快就会有人打电话进行推广(非效果广告)。
2、页面劫持
隐私泄露的风险比较隐蔽,用户基本感知不到。但另外一类劫持的影响就非常明显非常直接了——页面劫持,也就是直接篡改用户的浏览页面。有很多页面劫持很简单粗暴,直接插入第三方广告或者运营商的流量提示信息。
但也有一些劫持做得比较隐蔽,换成 HTTPS 访问,就没有这个工具页面,显然是被劫持了。
3、劫持路径及分类
那劫持到底是如何产生的呢?从技术上来讲比较简单,在内容经过的地方进行监听篡改就行了。但要想把整个劫持的产业链条摸清楚,需要深入黑产内部,比较困难。有一点可以肯定的是,劫持大部分都是在中间的网络节点发生的,又叫「中间人」(MITM, man in the middle)。
由于信息传输都需要经过上述的「中间人节点」,它们又拥有信息的读写权限,如果信息没有加密,也没有校验,那么想要查看隐私,篡改页面,对于「中间人」来说可谓是轻而易举。
那劫持又有哪些主要的分类呢?根据劫持路径划分的话,主要三类:
DNS 劫持,客户端劫持和链路劫持。 根据我们的不完全统计,业务遇到的绝大部分劫持 (90%)都属于链路劫持。
HTTPS 是解决链路劫持的核武器
HTTPS 为什么能很好的解决链路劫持呢?主要是三大武器:
1、身份认证—防假冒,防抵赖
每次建立一个全新的 HTTPS 连接时,都需要对身份进行认证,确保用户访问的是正确的目的网站。
2、内容加密—防窃听
内容加密意味端对端的通信内容全都是密文,中间人无法直接查看到明文,HTTPS 所有的应用层内容都是通过对称加密来实现加密和解密的。
3、一致性校验—防篡改
通过对数据和共享密钥的 MAC 码来防止中间者篡改消息内容,确保数据的一致性。
艾谷生活科技成立于2016年5月,艾谷以创新的理念,全新的模式,雄厚的实力,规范的管理,专注互联网整合营销,为企业提供一站式的服务!
从小程序规划、视觉设计、交互设计、动效创意,到程序开发,运营维护。我们拥有了丰富的建站经验和运维经验,确保小程序的建设质量与服务! 根据用户的需求、市场状况、企业情况提供化的程序开发、设计、技术和营销解决方案。 针对不同商家状况、客户特殊需求等量身打造,从化的开发方案定制 ,的视觉效果设计,无不体现“定制”的意义。
为客户定制适合自己的小程序开发,且尊重访问者视觉体验和浏览习惯,注重信息架构分析,界面设计、互动设计和内容制作,为客户提供值的平台享有更多的小程序体验。
广州艾谷生活科技有限公司是国内的美业电子商务服务和技术支持供应商。
公司始终秉承“凝聚商业力量,打造共赢平台,让生活变得更简单”的使命,以的服务团队、的技术实力、完善的互联网整合营销解决方案,助力企业实现互联网+行业的深度融合。 缔造更强大的社区商业体系,成为中国生态盈利型经营管理服务平台影响13亿人的生活方式。
选择艾谷生活,给你不一样的小程序!
广州小程序开发,小程序注册,小程序开发价格。
Tel: VX:WingsTaylor
133-162-159-19(同步), ,邮箱aigulife@qq.com
查看全部介绍
