凡是資訊洩露會造成危害的網站部分,基本上都要考慮啟用https,因為http協議是開放非加密的資訊,所以在傳輸過程容易被監聽和擷取。啟用https在一定程度上防止互動資料被輕易監聽和劫持,並不是需要整個網站全部用https,只是需要保密的部分才是必須的。
1、通用部分:凡是涉及到使用者登陸的網站都可以考慮啟用https,如果使用者名稱密碼洩露,其他資訊保安基本無法保證了。
3、交易網站:直接涉及到錢的部分,比如電商網站、銀行、公積金、社保、網貸等。
4、流量網站:間接涉及到錢的網站都要考慮啟用https,防止被劫持造成損失,比如投票、搜尋、廣告等。
由於https啟用之後,網站的伺服器單點效能會大幅下降,比如一臺http伺服器可以同時併發5000人的訪問,https伺服器只能併發2000人,這是原來很多網站不想啟用http的原因,,隨著雲服務的廣泛應用、技術的發展、以及社會對網路安全的重視,多數該啟用的都啟用了。
比較典型的兩個可以說明:
一是百度和淘寶基本是全站都啟用了https,一定程度減少了被劫持的流量;
二是蘋果要求從2017開始,所有app的介面都使用https認證傳輸。
不過https一定程度基於可信的SSL 證書,如果證書被盜用假冒,還是有一定風險,所以使用者要注意瀏覽器的提示,比如google瀏覽器提示非法和未經認證的https網站是:
注意和上面截圖的對比,多數未用認證的證書是怕麻煩和不願意出認證費用,這種網站容易被盜用。
凡是資訊洩露會造成危害的網站部分,基本上都要考慮啟用https,因為http協議是開放非加密的資訊,所以在傳輸過程容易被監聽和擷取。啟用https在一定程度上防止互動資料被輕易監聽和劫持,並不是需要整個網站全部用https,只是需要保密的部分才是必須的。
1、通用部分:凡是涉及到使用者登陸的網站都可以考慮啟用https,如果使用者名稱密碼洩露,其他資訊保安基本無法保證了。
3、交易網站:直接涉及到錢的部分,比如電商網站、銀行、公積金、社保、網貸等。
4、流量網站:間接涉及到錢的網站都要考慮啟用https,防止被劫持造成損失,比如投票、搜尋、廣告等。
由於https啟用之後,網站的伺服器單點效能會大幅下降,比如一臺http伺服器可以同時併發5000人的訪問,https伺服器只能併發2000人,這是原來很多網站不想啟用http的原因,,隨著雲服務的廣泛應用、技術的發展、以及社會對網路安全的重視,多數該啟用的都啟用了。
比較典型的兩個可以說明:
一是百度和淘寶基本是全站都啟用了https,一定程度減少了被劫持的流量;
二是蘋果要求從2017開始,所有app的介面都使用https認證傳輸。
不過https一定程度基於可信的SSL 證書,如果證書被盜用假冒,還是有一定風險,所以使用者要注意瀏覽器的提示,比如google瀏覽器提示非法和未經認證的https網站是:
注意和上面截圖的對比,多數未用認證的證書是怕麻煩和不願意出認證費用,這種網站容易被盜用。