世界最大色情网站 Pornhub 用 HTTPS 数据加密,它如何让你更安全地看片? | 深度
午休时间,小 A 戴着眼镜在办公室,盯着屏幕一脸紧张。 “哎呀,小 A 真不错啊,休息时间还这么积极开展工作。” 领导绕到了小 A 身后,准备嘉奖一番。 只见电脑屏幕上出现了不可描述的网站。 小A 一惊,结结巴巴地解释,“领导,我刚查资料,不知道怎么打开一个网站,就跳转到了这个网站”。 领导看了一眼浏览器地址栏上的“绿色小锁”,真相了然于胸。 领导看到“绿色小锁”应该是下面这一把: (上班时间打开这个网站,小编编辑略有压力) 对了,这就是世界上最大的色情网站Pornhub 。最近,Pornhub 和其姐妹网站YouPorn 了采用 HTTPS 网页加密技术,因此,只要你打开这两家的网址,地址栏就会出现这把“绿色小锁”。 事实上,只要看到这把“绿色小锁”,基本能保证“你连接的是你想要连接的网站”。小 A 的诡辩因此被洞察…… HTTPS 是什么?老司机为什么加上“绿色小锁”上羞羞网站被抓包,你害怕它的后果吗?2016年,曾发生过三起比较严重的色情网站信息泄露事件。 2016年5月,著名黑客 Peace in Mind(内心的平静)在著名暗网黑市 The Real Deal 挂出了一个“爆款”商品,那就是 4000万 Fling 的用户注册信息。包括所有用户的邮箱地址、注册名、明文密码、历史登陆IP地址以及生日。 2016年10月,成人约会和娱乐公司 Friend Finder Network 经历一次最大规模黑客攻击,导致超过4.12亿的账户信息泄露。该公司旗下有号称“全世界最大约炮社区”的 Adult Friend Finder,以及penthouse 等其他几个成人网站 。 2016年11月,成人网站 xHamster 有超过 380000 的用户数据在网络地下黑市被公开售卖,其中包括用户名、电子邮件地址以及经过 MD5 哈希密码,令人咋舌的是,其中还包含了美国军方以及英国等多国政府邮箱。 轻则有人购买这些信息给你推送相关羞羞广告,重则窃取信息,造成重大财务损失,还有更严重的,想必你可能在神剧《黑镜》里看过,以隐私信息相要挟,家破人亡也是有可能的。更甚者,你看,上面还有政府信息泄露。 采用 HTTPS 网页加密,加上“绿色小锁”有什么用?小编()曾在这样一篇文章《想看小黄片却担心被抓包?这些网站能让老司机放心“开车”》中就有探讨: “使用 HTTPS,你的 ISP (互联网服务供应商)就不会知道你在色情网站上干了些什么,即使是政府和间谍也不能办到,因为这些信息是加密的。至于完整性,部署 HTTPS 可以防止第三方,或 ISP 恶意软件的注入。事实上,我们已经在自己的页面上实现了 HTTPS 加密。”美国民主与技术中心CDT 首席技术专家Joseph Hall 表示。 先不要一脸懵逼。看看为什么Pornhub 为什么要抛弃HTTP,转投HTTPS 的怀抱。 超文本传输协议 HTTP 协议被用于在 Web 浏览器和网站服务器之间传递信息。也就是说,它是一个“传声筒”。但是,HTTP 协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了 Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此 HTTP 协议不适合传输一些敏感信息,比如信用卡号、密码等。 为了解决 HTTP 协议的这一缺陷,安全套接字层超文本传输协议 HTTPS 应运而生。为了数据传输的安全,HTTPS 在 HTTP 的基础上加入了 SSL 协议,SSL 依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。 HTTPS 和 HTTP 的区别主要为以下四点:
“说人话”的版本是,HTTPS 可以保证——
这意味着,你在看羞羞的网站内容时,这些内容不会因为被人偷偷截取被发现,也不会明明要看羞羞的网站,却上了一个你不需要的卖壮阳药的网站。 HTTPS工作原理:两位“地下党”接头纪实一名久经考验的老地下党员终于要见到同志了,他们甩掉了跟踪他们的耳目,在一个隐秘的小巷,说一声“天龙盖地虎”,对方答“宝塔镇河妖”,成功对接,互道一声“同志你好”。 这就是HTTPS 在传输数据之前需要浏览器与服务端(网站)之间进行一次“握手”,在握手过程中确立双方加密传输数据的密码信息。 对,这并不是正式传递内容,只是“加好友”。 两个互相不能信任的人开始了试探…… 当然,HTTPS 使用的接头暗号绝对不是这么简单。他们使用的“密码本”比战争时期的更难破译。“接头暗号”TLS/SSL协议不仅仅是一套加密传输的协议,更是一件经过艺术家精心设计的艺术品,因为 TLS/SSL中使用了非对称加密、对称加密以及哈希算法。 全世界只有一种“加密的执着”可以和上面的加密程度媲美——情侣们为求天长地久一层一层地往树上挂满同心结,往桥上加锁。 两位“地下党”是这么接头的: 1.浏览器将自己支持的一套加密规则发送给网站。 2.网站从中选出一组加密算法与哈希算法,并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息。 3.两人交换信物,开始验证信物。获得网站证书之后,浏览器要验证证书的合法性,比如,颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等。 如果证书受信任,则浏览器栏里面会显示一个小锁头,否则会给出证书不受信的提示。如果证书受信任,或者是用户接受了不受信的证书,浏览器会生成一串随机数的密码,并用证书中提供的公钥加密。 然后两位同志使用约定好的哈希计算消息,使用生成的随机数对消息进行加密,最后将之前生成的所有信息发送给网站。 一方发出了好友认证申请…… (编辑:ASP站长网) |