使用HTTPS解決http劫持的技巧

發布時間:2019-09-12 09:10 來源:互聯網 當前欄目:網站相關

  做過網站的,或多或少的遇到過http劫持問題。當然未做過網站的,也可能遇到http劫持,比如我自己曾經遇到過,下載uc瀏覽器,結果卻下載下來一個其他的軟件。這就是http劫持的一個案例,生活中關于http劫持的例子還有很多,本文主要講解http的詳解劫持問題。
  首先介紹如何檢測網站劫持的辦法:
  1、使用IIS7網站監控工具,進入到IIS7站長之家官網,在首頁點擊右上角“網站監控”,
  2、進入IIS7網站監控工具頁面,輸入你需要檢測的網站域名,點擊“提交檢測”,
  3、查看檢測結果,我們可以看到網站是否被劫持、域名是否被墻、DNS污染檢測、網站打開速度檢測、網站是否被黑、被入侵、被改標題、被掛黑等信息。
  4、查看檢測出來的每一項是否符合自己的網站,是否正常。


 
  最常見的http劫持是地鐵上使用花生wifi,訪問網頁后出現了花生wifi的廣告。而原本我訪問的網站并沒有投放相關的廣告啊,這是為什么呢?答案就是你訪問的這個網站使用的是http協議,有被劫持的可能。
  網站被運營商或花生地鐵wifi劫持了,它往你的html里面注入了一段廣告的html。
  中間人的身份比較特殊,是運營商或者接入設備,所以它是在正常的連接上面的。也可以說由于運營商暗地里做了劫持,你也可以認為它不是一個正常的連接了。
  不管怎么樣,這種劫持也叫http劫持只發生在http連接上,而https的連接是沒這個問題的,基本只要打開的是https的網頁都不會被注入廣告。因為傳輸的數據都是加密的,中間人收到的是一串無法解密的文本,它也不知道怎么篡改。
  防火防盜防運營商,但是注入廣告還算是小事,因為如果是http連接你的數據在網絡上都是明文傳輸的,包括你的密碼等敏感信息,你和服務器之間經過的路由都可以嗅探到你的數據,可以做些修改如嵌入一個廣告,做一些破壞,或者只單純的抓取信息如郵件內容、賬號密碼等。所以使用https是很有必要的,火狐會在非https的網頁的密碼輸入框提示不安全。
  https的網站還有一個好處就是能夠提升SEO。
  在外面連的公共wifi,使用https能夠減少賬號信息被盜的風險,但也不是100%安全,因為它可以用其它的方式如在你的設備上種植木馬等獲取和控制你的賬號。
  不管怎么樣,搞一個https還是很有必要的,至少不要讓別人以為那個廣告是你自己的網站打的。
  https升級后的問題是:加密和解密需要占用更多的CPU,并且加密后的數據會變大,但是據筆者觀察加上gzip壓縮之后,https傳輸的內容大小幾乎和http一樣。除了正常的tcp連接之外,還要建立ssl連接,這個時間一般在0.3s~0.5s左右,這個是需要付出點代價的,但是由于瀏覽器左下角會提示用戶“正在建立安全連接”,有一個緩沖的過程,所以其實還好。
  • 1、
  • 2、
  • 3、
  • 4、
  • 5、
  • 6、
  • 7、
  • 8、
  • 9、
  • 10、
  • 11、
  • 12、
  • 13、
  • 14、
  • 15、
  • 16、
  • 17、
  • 18、
  • 19、
  • 20、
  • 21、
  • 22、
  • 23、
  • 24、
  • 25、