問一個問題:你在浏覽器上填寫網站位址時,是從http開始的,還是從www,還是直接輸入zol.com.cn。以筆者為例,用的是谷歌浏覽器,每次進入中關村線上首頁,都直接輸入“zol”回車,浏覽器會自動跳轉到中關村線上首頁。你可能都沒有意識到,其實浏覽器為我們省略了很多步驟,這當然很好,但也可能導緻資訊安全問題。
對網絡熟悉的朋友肯定聽說過“http”和“https”。簡單來說,二者相差的“s”就是英文安全Secure的縮寫。HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目标的HTTP通道,因其安全性的特點,收到了谷歌等企業的信賴和推廣。為了保證資料安全,在https協定中采用了很多種加密算法,諸如大家比較熟悉的雜湊演算法,還有對稱加密、非對稱加密和數字簽名等。比如雜湊演算法就是将任意長度的資訊轉換成固定長度的數值,而且這種算法轉換采用的是脫敏方式,算法不可逆。
但問題是,目前我們真的用的都是https嗎,即便都是了,就真的安全了嗎?
答案必然是否定的。
正如筆者在文章開頭描述的場景一樣,根據使用者習慣,我們一般隻會在浏覽器中輸入相應的域名,并不會手動輸入“http”或“https”。此時,浏覽器為我們代勞,而目前幾乎所有浏覽器都是預設填寫“hppt://”的。
此時,網站管理者一般會采用301/302跳轉的方式,由 HTTP 跳轉到 HTTPS,而這個過程中很有可能收到攻擊。此時,便展現了HSTS的功效。
那麼什麼是HSTS呢?事實上,HSTS是國際網際網路工程組織 IETF 正在推行一種新的 Web 安全協定,這種安全協定正是在網站跳轉時起到關鍵作用的協定,幫助使用者轉到安全連結。
采用HSTS安全協定的優勢在于不但能夠增強資料傳輸安全性,避免在轉化過程中收到網絡攻擊,還可以減少網站 301/302 跳轉時所花費的大量時間,極大提高安全系數和使用者體驗。(以上圖檔來自網絡)
本文轉自d1net(轉載)