在互聯網的世界里,流量就等于金錢。而流量劫持是指,利用各種惡意軟件、木馬病毒,修改瀏覽器、鎖定主頁或不停彈出新窗口等方式,強制用戶訪問某些網站,從而造成用戶流量損失的情形。
瀏覽器一旦被篡改劫持,用戶原有的使用習慣將被迫改變,即使自動彈出的窗口可關,也不勝其煩。用戶體驗變差還不是“瀏覽器主頁劫持”最糟糕的后果,讓人脊背發涼的風險還在于,存儲在電腦上的個人資料如銀行賬號、密碼等可能被竊取。更可惡的是,“瀏覽器主頁劫持”發生之后,你想“自救”并不容易。有些可以通過重啟電腦、卸載軟件、重新設置瀏覽器、殺毒等簡單操作來完成,有些則根本無濟于事,非向專業人士求救不可。“瀏覽器主頁劫持”令人深惡痛絕,可又無可奈何,普通用戶根本斗不過潛伏于電腦另一端的“劫匪”。
當下的一些殺毒軟件、防火墻等安全工具并不安全,它無法滿足企業防止流量劫持所需。
在流量劫持者的眼中,明文傳輸也就是http是一大塊肥肉。它的基數很大,漏洞百出,在流量劫持者眼中,是最佳的下手目標。利用明文傳輸自身的缺陷,網絡黑客們不費吹灰之力,就可以對信息內容進行竊聽、篡改和劫持。
流量劫持并不是想象中的防不勝防,是可以通過技術手段去解決,即https的加密方式。
相比于通信方身份和數據完整性無法驗證的http協議,https是一個基于http的安全通信通道,它運用安全套接字層(SSL)進行信息交換,具有身份驗證、信息加密和完整性校驗的功能,可以保證傳輸數據的機密性和完整性,乃至服務器身份的真實性,進而有效避免http被劫持的問題。
為網站部署SSL安全證書便可將http網站升級到https。值得強調的是,這個證書必須是由知名的權威CA機構頒發,因為權威CA機構的證書通常存在大多數瀏覽器和操作系統中,能夠被客戶端用來檢驗網站SSL證書是否合法。
網站使用了權威機構,等于給網站通信裝上一個保險柜,所有的信息數據傳輸都在加密環境下進行,流量劫持便無法輕易發生。在巨大的利益誘惑下,互聯網中的流量劫持并不會消失匿跡,但可以肯定的是,構建https加密必將成為一個全球性的趨勢。
在移動端,微信小程序要求同步小程序的網站,必須使用https協議;在PC端,谷歌、火狐、百度、360等搜索引擎均公開宣布,對https網站給予優先收錄。在互聯網巨頭的全力助推下,http將成為過去式,構建全網https加密的時代正加速到來,讓流量劫持再無可能。
目前,全球的網絡安全都在處于加強防護的狀態,各種的不安全的協議、條例都處于被淘汰的狀態。如HTTP明文傳輸協議、FTP協議……都在列為不安全,逐步被HTTPS取代。做好了個人數據的防護,不僅能夠有效避免數據泄露的危害,還能夠大幅消除用戶對于個人隱私泄露的疑慮。建議企業應注重提升網絡安全保護,避免出現數據泄露事件。
