百度开启HTTPS加密搜索,安全性仍欠考量

Baidu-百度 7731 Views 0 Comments

前几天听说百度开始有HTTPS访问,苦于自己生病,无暇顾及网络。今天看了下,只能说看起来很美。

先说什么是HTTPS,因为传统的HTTP访问是明文传输的,你的各种用户和密码在整个网络环境中裸奔。而在一些安全性比较高的网站,比如银行的交易系统中,就需要把这些明文信息进行加密,你发送的信息经过一层加密然后发给服务端,只有服务端才能解密你的密文。

所以我们说HTTPS是HTTP的一个子应用,从计算机网络来讲是应用层的,是应用层的子层。

百度搜索开启HTTPS也算是开辟中国搜索界的先河了,但是未免太晚了。Google、Twitter、Facebook都在很早之前就开始全面应用这一安全协议了。

说说我使用HTTPS的感受,首先要值得说一点是:成都电信终于挟持不了我的百度了,很长时间我打开百度都是跳转加小尾巴的。具体是:index.php?tn=02049043_27_pg ,如果百度员工看到了,可以调查一下这个人是谁。我懒得说了,而且已经抓包分析过了,不是我的问题,是底层挟持的。

百度的HTTPS速度和正常访问差别不大,通过我的观察百度搜索并没有使用SPDY,查看 chrome://net-internals/#spdy ,发现百度没有使用SPDY

baidu-none-spdy

在文章的开头我就说了,这个HTTPS目前只能说看起来很美。随着我测试的深入,发现这个HTTPS并不安全,而且浏览器不会出现非安全的警告。因为这种不安全恰恰发生在你点击这些链接的时候。

unsafe-baidu

http://www.baidu.com/link?url=81GeSyTBoCPFem8PDXD9b43cqmwjkyWczDdnxgpZg58ZL8gO6ppKN7ZbGBOAKqIh&ie=utf-8&f=8&tn=baiduhome_pg&wd=%E4%B8%AD%E7%BA%AA%E5%A7%94&inputT=1408

在跳转链接的时候使用了http访问,这样用户隐私就暴露了。不知道这样是为什么,按理说不应该犯这样的错误。可能是协调统计的没有做好吧。

目前百度的加密搜索仍在小流量内测中,估计细节做好了还是有一定帮助。至少下一步会进行抓取HTTPS站点了吧,现在百度抓取HTTPS站点真是不乐观。

话说回来了,仍然有一个问题,就算用了HTTPS就意味着隐私真正的收到了保护了么,监管部门如果要这些数据呢?

转载请注明:卓非博客 » 百度开启HTTPS加密搜索,安全性仍欠考量

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

最新评论 (1)

  1. HTTPS加密是大势,希望百度也能做来越人性化!

    空包2014-11-25 22:21 回复