HTTPS 的重要性

您应始终使用 HTTPS 保护您的所有网站,即使这些网站并不处理敏感通信。除了为网站和用户的个人信息提供重要的安全性和数据完整性之外,许多新浏览器功能(尤其是渐进式 Web 应用功能)还要求使用 HTTPS。

摘要

  • 恶意和良性入侵者会利用您的网站和用户之间的所有未受保护的资源。
  • 许多入侵者会查看汇总的行为以识别您的用户。
  • HTTPS 不仅能阻止您的网站遭到滥用,它也是许多先进功能的要求,也是诸如 Service Worker 等类似应用的支持技术。

HTTPS 可保护网站的完整性

HTTPS 有助于防止入侵者篡改您的网站与用户浏览器之间的通信。入侵者包括故意的恶意攻击者,以及合法但具有侵扰性的公司,例如将广告注入网页的 ISP 或酒店。

入侵者会利用不受保护的通信内容,诱使用户提供敏感信息或安装恶意软件,或者将他们自己的广告插入您的资源。例如,有些第三方向网站注入可能会破坏用户体验并产生安全漏洞的广告。

入侵者会利用在您的网站和用户之间传输的每一个未受保护的资源。图片、Cookie、脚本、HTML 等都可能被利用入侵可能会在网络中随时发生,包括用户的计算机、Wi-Fi 热点或被盗用的 ISP 等。

HTTPS 可保护用户的隐私和安全

HTTPS 可防止入侵者能够被动地监听您的网站和用户之间的通信。

人们对 HTTPS 有一个常见的误解,认为只有处理敏感通信的网站才需要 HTTPS。每个未受保护的 HTTP 请求都可能会泄露有关用户行为和身份的信息。虽然单次访问您未受保护的网站可能看起来没有问题,但有些入侵者会查看用户汇总的浏览活动,推断他们的行为和意图,并对他们的身份进行去匿名化处理。例如,员工可能在阅读未受保护的医疗文章时,无意中向雇主披露敏感的健康问题。

HTTPS 是网络的未来发展方向

强大的全新 Web 平台功能(例如,使用 getUserMedia() 拍照或录制音频、通过 Service Worker 实现离线应用体验,或构建 Progressive Web 应用)需要在执行前获得用户的明确许可。我们还会更新许多较旧的 API,以要求执行权限,例如 Geolocation API。HTTPS 是这些新功能和经过更新的 API 的权限工作流的关键组件。