Web 技术研究所

我一直坚信着,Web 将会成为未来应用程序的主流

https 并没有解决劫持的问题

  每次一提到防劫持,大家给出的终极方案总是 https。但是 https 真的可以完美解决运营商劫持的问题么?也许从安全的角度考虑,https 确实是最佳解决方案。但是从产品角度从用户体验上来考虑呢?使用 https 不但没有解决问题,甚至会变得比从前的 http 更糟糕。
  自从某项目上了 https 后老有用户反馈说页面打不开。以前使用 http 的时候虽然有劫持,偶尔还会被插入一些恶心的广告,但页面总是可以打开,功能可以正常使用。现在上了 https 反而各种白屏,各种连接建立失败。虽然广告看不见了,但连功能也无法使用了。
  很多时候网页上并不存在敏感信息,传输没有安全的必要,产品设计上只是为了让用户看到这个页面,所以即使被插入广告也比白屏好。对于这类页面,使用 https 可能适得其反。
  但是即便是纯展示的页面也是有安全风险的。比如一个宣传页,如果使用 http,攻击者可以篡改页面上的二维码或下载链接,让用户下载到奇奇怪怪的东西,或者链进一个钓鱼网页。虽然比起 SessionID 泄露之类的风险要低得多,但这依然是一种风险。
  Web 页面的运营商劫持问题目前就技术层面我也没想到什么解决方案,如果大家有什么方案可以一起聊一聊。但如果是 App 内部就可以解决。因为我们可以基于传输层协议自己封装一个运营商不知道的域名解析协议,并且自己搭建相应的 DNS 服务器。只要不是被针对性地攻击就可以免受劫持。
  另外,比起白屏和被植入广告,我更愿意选择白屏(虽然产品经理不会这么想)。但是作为 Web 开发者,推进全面 https 才是我们该做的。如果全世界都 https 了,运营商自然也就不会去做劫持这种费力不讨好的事情。
网名:
3.80.55.*
电子邮箱:
仅用于接收通知
提交 悄悄的告诉你,Ctrl+Enter 可以提交哦
神奇海螺
[查看全部主题]
各类Web技术问题讨论区
发起新主题
本模块采用即时聊天邮件通知的模式
让钛合金F5成为历史吧!
次碳酸钴的技术博客,文章原创,转载请保留原文链接 ^_^