在互联网的世界里,流量就等于金钱。而流量劫持是指,利用各种恶意软件、木马病毒,修改浏览器、锁定主页或不停弹出新窗口等方式,强制用户访问某些网站,从而造成用户流量损失的情形。
浏览器一旦被篡改劫持,用户原有的使用习惯将被迫改变,即使自动弹出的窗口可关,也不胜其烦。用户体验变差还不是“浏览器主页劫持”最糟糕的后果,让人脊背发凉的风险还在于,存储在电脑上的个人资料如银行账号、密码等可能被窃取。更可恶的是,“浏览器主页劫持”发生之后,你想“自救”并不容易。有些可以通过重启电脑、卸载软件、重新设置浏览器、杀毒等简单操作来完成,有些则根本无济于事,非向专业人士求救不可。“浏览器主页劫持”令人深恶痛绝,可又无可奈何,普通用户根本斗不过潜伏于电脑另一端的“劫匪”。
当下的一些杀毒软件、防火墙等安全工具并不安全,它无法满足企业防止流量劫持所需。
在流量劫持者的眼中,明文传输也就是http是一大块肥肉。它的基数很大,漏洞百出,在流量劫持者眼中,是最佳的下手目标。利用明文传输自身的缺陷,网络黑客们不费吹灰之力,就可以对信息内容进行窃听、篡改和劫持。
流量劫持并不是想象中的防不胜防,是可以通过技术手段去解决,即https的加密方式。
相比于通信方身份和数据完整性无法验证的http协议,https是一个基于http的安全通信通道,它运用安全套接字层(SSL)进行信息交换,具有身份验证、信息加密和完整性校验的功能,可以保证传输数据的机密性和完整性,乃至服务器身份的真实性,进而有效避免http被劫持的问题。
为网站部署SSL安全证书便可将http网站升级到https。值得强调的是,这个证书必须是由知名的权威CA机构颁发,因为权威CA机构的证书通常存在大多数浏览器和操作系统中,能够被客户端用来检验网站SSL证书是否合法。
网站使用了权威机构,等于给网站通信装上一个保险柜,所有的信息数据传输都在加密环境下进行,流量劫持便无法轻易发生。在巨大的利益诱惑下,互联网中的流量劫持并不会消失匿迹,但可以肯定的是,构建https加密必将成为一个全球性的趋势。
在移动端,微信小程序要求同步小程序的网站,必须使用https协议;在PC端,谷歌、火狐、百度、360等搜索引擎均公开宣布,对https网站给予优先收录。在互联网巨头的全力助推下,http将成为过去式,构建全网https加密的时代正加速到来,让流量劫持再无可能。
目前,全球的网络安全都在处于加强防护的状态,各种的不安全的协议、条例都处于被淘汰的状态。如HTTP明文传输协议、FTP协议……都在列为不安全,逐步被HTTPS取代。做好了个人数据的防护,不仅能够有效避免数据泄露的危害,还能够大幅消除用户对于个人隐私泄露的疑虑。建议企业应注重提升网络安全保护,避免出现数据泄露事件。