谷歌要对HTTPS动手,只因大家对它误解太深
通过输入网址来打开网站,相信许多朋友的上网冲浪都是从这一步开始。即便移动互联网生态已经愈发成熟、APP也更为契合智能手机,但网页从始至终无疑都是互联网最为核心的组成部分。因此网页或网站的安全,也成为了互联网信息安全的重点,而为了保护用户不被不法分子侵扰,HTTPS安全浏览也逐渐成为网站的标准。
如果你在使用谷歌Chrome或者微软Edge这类基于Chromium的浏览器时,发现网站的地址栏里有一把“锁”,就证明了它使用了更加安全的HTTPS协议。
但如今谷歌要对HTTPS协议“动手”了,而更准确的说,谷歌并非开发新的互联网协议,而是要改变HTTPS协议的显示图标。日前谷歌方面在Chromium的官方博客中透露,未来将采用Tune图标来替代锁形图标,因为Tune这个图标更中立、也不容易让用户产生误解。
根据谷歌方面的说法,在相关调查中发现,仅有11%的受访者了解锁形图标表示网站采用了HTTPS,大部分受访者则误以为其代表网页内容更安全。
也就是说,虽然谷歌在Chrome上使用锁形图标是来表示目标网站使用了HTTPS协议,但让他们始料未及的是,大多数用户都将HTTPS协议和网站本身是非恶意划上了等号。显然这是不对的,因此谷歌选择放弃象征安全的锁,而用“Tune”这一既能提示链接是否已加密,又不会给用户提供安全的图标来替换。
为什么代表网站使用HTTPS协议的锁形图标,并不是网站安全的标志呢?这就要从HTTPS协议是什么说起了,而说到网页,HTTP协议自然就不能不提。超文本传输协议(英文:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议,也是典型的请求/响应模型,是客户端向服务器发送一个请求报文,服务器以一个状态行作为响应,而响应的内容则包括协议的版本、成功或者错误代码。
而一个典型的互联网接入流程,则是这样的。假如要访问三易生活的官网,那么浏览器就需要先对3elife.net这个网址通过DNS协议进行解析,查询到我们网站的IP地址,再通过TCP协议将信息打包到数据包(packet)中交给网卡,然后使用HTTP协议访问web服务器,再根据对应的IP地址,网卡将数据包转换为电信号,并通过网线发送出去。
作为一个负责数据传输的应用层协议,HTTP相当于扮演的是快递员的角色。只不过由于HTTP是在上世纪90年代诞生,彼时新生的互联网远不如当下这般复杂,所以网络安全在当时甚至都没能成为一个课题,再加上硬件和资源的限制,HTTP协议是使用明文传输、数据并未经过加密。而明文传输带来的问题是无法防止中间人截获、盗取和篡改信息,而从路由器、运营商到对方服务器,中间的每一步都是明文。
最典型的例子,就是多年前有运营商会给用户访问的网页插入窗口广告。而在互联网世界里,明文传输无异于是小儿持金过闹市。因此HTTPS协议应运而生,它的核心变化就是使用了非对称的RSA加密算法,通过密钥把明文(原始信息)变成密文(明文变换后的信息),这样一来,即使有黑客在数据传输过程中截获了数据包,也只能看到一团乱码,而不是敏感信息。
而这里就要划重点了,HTTPS协议只能确保用户在和真实的服务器通信,并且内容没有被篡改。简单来说,HTTPS协议能确保你访问的是baidu而不是baiidu,可以解决域名劫持、数据劫持或者DNS污染。那么问题就来了,如果采用HTTPS的网站本身存在问题呢?毕竟HTTPS只是数据传输安全的认证,不等于网站就是好网站,使用HTTPS协议的钓鱼网站按照Chrome的规则其实也能获得“锁形图标”。
没错,即使网站本身是为网络钓鱼、电信诈骗服务,但由于HTTPS是中立的,它无法分辨网页是正义、还是邪恶的,就导致了居心不良的网站也能使用HTTPS协议。也就是说,连接安全不等于网站的内容也是安全的,可过去在宣传HTTPS时,谷歌们似乎并没有注意到这一点。
长期以来,使用HTTPS协议安全、继续使用HTTP协议不安全,成为了各大互联网厂商齐心协力向用户灌输的观念,但如今看来,这一行动的效果似乎是好过了头。
毕竟对于互联网相关技术不了解的用户,并不知道HTTPS到底是保护什么,他们只能看到Chrome显示这个网站有象征安全的“锁”。而Chrome用“Tune”图标来代替锁形图标就是希望告诉用户,浏览器只能对网页的连接安全负责,至于网页到底是干什么的,他们并不负责判断。
英国监管机构警告公司注意人工智能的使用和隐私
##划重点:1.🚨英国数据保护监管机构提醒公司在使用人工智能(AI)时务必考虑人们的隐私权,否则将面临罚款,并可能失去公众对该技术的信任。2.💼信息专员约翰·爱德华兹表示,公司在使用AI时必须在所有情况下保护客户的个人信息,违反数据保护规定将导致不仅罚款,还可能失去公众信任。0000五角大楼探讨大型语言模型的军用用途
划重点:⭐️五角大楼与科技专家会晤,讨论如何将人工智能融入军事规划。⭐️大型语言模型在军事情报分析等领域有潜在用途,但仍需面临可靠性和安全性挑战。⭐️五角大楼强调需要工业界的协助,以推动人工智能技术在军事领域的应用。站长网2024-02-21 10:54:360000全自动框架T2Hair:可用于创建高保真 3D 头发模型
CT2Hair是一个基于计算机断层扫描(CT)的全自动框架,用于创建高保真的3D头发模型。该框架通过估计头发区域的密度体积、提取有用的导引发丝、使用神经插值方法填充头皮以及优化细化等步骤,实现了从真实世界的头发假发中重建各种发型的图形。项目地址:https://yuefanshen.net/CTHair站长网2023-08-07 18:15:490000李斌:蔚来自研芯片一颗顶英伟达四颗
快科技4月21日消息,据媒体报道,蔚来李斌近日表示,去年购买了很多的英伟达芯片,这耗费了公司不少钱,为此公司转向自研芯片,因为一颗芯片可以顶四颗,所以能降低成本。据资料显示,在2023蔚来日上,蔚来正式发布了首颗自研智能驾驶芯片神玑NX9031。蔚来李斌表示,蔚来的目标是用一颗自研芯片实现目前业界四颗旗舰智能驾驶芯片的性能,使得效率和成本更优。0000茅台瑞幸联名新品“龙年酱香巧克力”开卖 到手价只需18元
站长之家(ChinaZ.com)1月22日消息:瑞幸咖啡今日携手贵州茅台推出了全新联名产品——龙年酱香巧克力”。这款新品在小程序上的标价为38元一杯,但消费者通过特定的优惠方式,实际支付只需18元。据商品详情页显示,这款新品融合了纯牛奶、白酒风味厚奶和香浓可可风味固体饮料等多种原料。官方强调,每杯都融入了贵州茅台酒的独特风味。站长网2024-01-22 14:06:220001