很多人都觉得,HTTPS 可以保护用户的密码等登陆信息,那么其他时候就不需要了
。但火狐Firefox浏览器插件Firesheep,证明了这种想法是错的。
我们可以看到,其实在一些社交平台,劫持其他人的session是非常容易的。
我们以常见的咖啡馆的免费WiFi环境为例,这就是一个很理想的劫持环境,因为两个原因
这种公共场合的 WiFi 通常不会加密,这就是提供了监控所有流量的可能性。
- WiFi通常使用 NAT 进行外网和内网的地址转换,所有内网客户端都共享一个外网地址。这意味着,被劫持的 session,看上去很像来自原有的登录者。
如果登录页使用了HTTPS,但是登录以后,其他页面就变成了HTTP。这时,它的cookie里的session值就暴露了。
也就是说,这些cookie是在HTTPS环境下建立的,但是却在HTTP环境下传输。如果有人劫持到这些cookie,那他就能以你的身份在社交平台上发言了。
那么全网加密和只加密注册登陆页面,对网站运营者来讲,成本有很多的区别吗?
其实不然。一张证书可以只是保护一个域名下所有的页面,如果有很多的子域名,则一张通配符证书就可以搞定。而这些证书的成本最低几百元即可申请。
HTTPS全站加密保护用户隐私安全,给用户一个绿色安全可依赖的网络环境。网络时代HTTPS必不可少
以上文章由SSL盾小编整理发布更多证书详情【www.ssldun.com】 如有转载请注明