摘要:很多普通公众可能并不明白,为什么自己的访问行为和隐私数据突然会被“偷走”,域名没输错,结果却跑到了一个钓鱼网站上? 当下,互联网、手机已经成为人们生活依赖度相当高的工具,但就像一把双刃剑,互联网也是一个“黑白”都存在的世界。近年来,用户数据泄露、流量劫持、页面篡改等安全事件频发,昨晚3.15晚会曝光了免费WiFi的安全问题就是一个典型的场景。对此,很多普通公众可能并不明白,为什么自己的访问行为和隐私数据突然会被“偷走”,域名没输错,结果却跑到了一个钓鱼网站上? 回答这个问题,就不得不提下HTTPS,很多人对此感觉陌生,因为互联网发展20多年,习惯了在浏览器地址里输入HTTP格式的网址。前不久,百度搜索引擎也启动了史上规模最大的一次“迁徙”,目标就是从HTTP切换到HTTPS上去,通俗来讲,就是用户搜索关键词的数据请求和页面访问,会增加一个“数据加密”的技术,中间一些“传输”过程都被加密和认证,第三方无法获取,这样就轻松化解了数据被劫持、篡改的隐患。 想一下,过去的互联网是一个单纯的娱乐、游戏、社交的虚拟空间,但随着移动互联网的兴起,特别是餐饮、电影、购物、金融理财,甚至是买汽车、租房、打车等生活服务,紧密地绑定在手机及网络上时,人们不仅是单一的获取信息,产品和服务的交易闭环也逐步成熟了。但这也进一步放大了数据安全、被劫持或泄露的风险。最近这两年,频频出现的欺诈、数据泄露往往会引发大的经济损失,也就是这个道理。 无疑,现在已经到了必须HTTPS化的时间了。 HTTPS是个什么样的世界? 先看一下,百度这次都做了哪些工作。技术术语是全站HTTPS安全加密服务,即通过对传统HTTP通道添加SSL安全套接层,将所有百度搜索请求全部变成加密状态,以此解决“中间者”对用户隐私的嗅探和劫持,为网友提供安全可靠的上网和搜索环境。 那么,HTTPS究竟是一个什么样的世界呢?接下来先普及一下知识。可以模拟一下通过互联网访问网站或服务的场景,每个访问都是一次网络连接链条的“接力游戏”,传统HTTP模式下,搜索或访问请求通过“明文信息”,经过中间的代理服务器、路由器、wifi热点、服务运营商等“中间人”的通路,最终将数据或服务“取”回来。这个“中间”渠道就存在大量的数据泄露或劫持的风险,很多双眼睛都盯着,几乎步步惊心。HTTPS通过加密的形式,防止中途被劫持或篡改,规避了风险。 你可能会说,不就是做一个从HTTP到HTTPS的切换吗?其实,背后却是一个复杂的工程。拿百度来说,因为搜索几乎是百度最核心的“内核”,连接了图片、百科、知道、贴吧、Video、地图等几乎所有的产品,数亿的用户都会影响到,个性化推荐和千人千面的趋势更如此,这就成了一件浩瀚的工程,而且还必须保持业务的连续性,不能中断业务,稳定响应用户请求,复杂度几乎是难以想象的。所以,百度去年才会从小入手开始做小流量的测试,选择用户和应用负载小的入口开始。 那么,从技术角度看,难度主要体现在哪呢,类似IPV4到IPV6的升级。首先这是一次联合作战,涉及到的所有产品和部门技术联合作战,所有的链接资源都要切到HTTPS上,产生错误就会出现空白页或访问错误;二是速度优化,任何一个加密的过程,相当于多了一次SSL握手、RSA校验,耗时变长,性能降低,而搜索页面常态下保守也会有数十个资源链接,叠加在一起,会影响访问及响应速度;三是即使全网切换,也要做好HTTPS和HTTP的过渡和兼容,referer、cookie等数据如何保持一致,避免出现访问故障;四考虑到大多数网站,CDN的内容和应用的分发已是标配,这要求所有的CDN节点都支持HTTPS,如果非自建而是第三方,更增加了难度。 百度为什么要迁移到HTTPS? 大家可能会有一个疑问,既然这么复杂的工程,涉及到巨大的投入和成本,还给产品和业务带来一定的风险,在国内大多数互联网企业纷纷“避开”时,百度凭什么敢“越雷池一步”呢?我们主要从微观和宏观两个层面探讨下。 微观层面,互联网是一个奇怪的世界,水面下总是暗流涌动,就算是技术很强悍的百度,每天有来自于全球的数十亿次的搜索请求,但其中不可避免地会有小部分的流量会遭劫持或篡改,由于区域分布散、广等特点,很难完全解决。更不要提一些小网站,所以圈儿里也有专门做流量劫持和贩卖的营生的。而反馈到用户前端,常见的现象很多,一个是搜索结果页被篡改或加载上广告,谋取商业利益;一个是比如用户刚搜了一个汽车,卖车的电话就找上门了。这都影响了用户的搜索体验,用户会误认为是百度泄露了数据,背了黑锅。这样灰色的利益链条很多,未来会高频发生。 (责任编辑:admin) |