很多人都覺得,HTTPS 可以保護用戶的密碼等登陸信息,那麼其他時候就不需要了
。但火狐Firefox瀏覽器插件Firesheep,證明了這種想法是錯的。
我們可以看到,其實在一些社交平臺,劫持其他人的session是非常容易的。
我們以常見的咖啡館的免費WiFi環境爲例,這就是一個很理想的劫持環境,因爲兩個原因
這種公共場合的 WiFi 通常不會加密,這就是提供了監控所有流量的可能性。
- WiFi通常使用 NAT 進行外網和內網的地址轉換,所有內網客戶端都共享一個外網地址。這意味着,被劫持的 session,看上去很像來自原有的登錄者。
如果登錄頁使用了HTTPS,但是登錄以後,其他頁面就變成了HTTP。這時,它的cookie裏的session值就暴露了。
也就是說,這些cookie是在HTTPS環境下建立的,但是卻在HTTP環境下傳輸。如果有人劫持到這些cookie,那他就能以你的身份在社交平臺上發言了。
那麼全網加密和只加密註冊登陸頁面,對網站運營者來講,成本有很多的區別嗎?
其實不然。一張證書可以只是保護一個域名下所有的頁面,如果有很多的子域名,則一張通配符證書就可以搞定。而這些證書的成本最低幾百元即可申請。
HTTPS全站加密保護用戶隱私安全,給用戶一個綠色安全可依賴的網絡環境。網絡時代HTTPS必不可少
以上文章由SSL盾小編整理髮布更多證書詳情【www.ssldun.com】 如有轉載請註明