近日，看了一篇關于流量劫持的文章《安全科普：流量劫持能有多大危害？》，作者EtherDream以圖文并茂的形式詳細講解了流量劫持及相關知識。“在如今這個講究跨平臺、體驗好，并有云端支持的年代，WebApp 越來越火熱。各種應用紛紛移植成網頁版，一些甚至替代了客戶端。同時，也造就了流量劫持前所未有的勢頭。”小編總結，這里提到的流量劫持危害，大多跟http明文傳輸協議的薄弱有關系。

我們來看看流量劫持會帶來什么危害？

不同的劫持方式，獲得的流量也有所差異。DNS 劫持，只能截獲通過域名發起的流量，直接使用 IP 地址的通信則不受影響；CDN ***，只有瀏覽網頁或下載時才有風險，其他場合則毫無問題；而網關被劫持，用戶所有流量都難逃魔掌。

1、http易致在線應用被劫持

網頁技術在近些年里有了很大的發展，但其底層協議始終沒有太大的改進—— http，一種使用了 20 多年古老協議。在http里，一切都是明文傳輸的，流量在途中可隨心所欲的被控制。而在線使用的 WebApp，流量里既有通信數據，又有程序的界面和代碼，劫持簡直輕而易舉。因此，劫持網頁流量成了各路***們的鐘愛，一種可在任意網頁發起 XSS 的***方式。

2、公共場合使用http，不登陸也會被劫持

在自己的設備上，大家都會記住各種賬號的登錄狀態，反正只有自己用，也沒什么大不了的。然而，在被劫持的網絡里，即使瀏覽再平常不過的網頁，或許一個悄無聲息的間諜腳本已暗藏其中，正偷偷訪問你那登錄著的網頁，操控起你的賬號了。

3、http狀態下，Cookie 記錄或瀏覽器自動填表單，都會導致賬號密碼被截獲

http狀態下，cookie記錄的都是明文的賬號密碼，被劫持泄露后，即使數量不多，也能通過社工獲取到用戶的更多信息，最終導致更嚴重的泄露。

4、http 緩存投毒

http這種簡單的純文本協議，幾乎沒有一種簽名機制，來驗證內容的真實性。即使頁面被篡改了，瀏覽器也完全無法得知，甚至連同注入的腳本也一塊緩存起來。但凡具備可執行的資源，都可以通過預加載帶毒的版本，將其提前緩存起來。

5、https能避免劫持嗎？

能！但前提是必須用受信任的SSL證書。

不同于簡單的http代理，https 服務需要權威CA機構頒發的SSL證書才算有效。自簽證書瀏覽器不認，而且會給予嚴重的警告提示。而遇到“此網站安全證書存在問題”的警告時，大多用戶不明白是什么情況，就點了繼續，導致允許了***的偽證書，https 流量因此遭到劫持。

如果重要的賬戶網站遇到這種情況，無論如何都不該點擊繼續，否則大門鑰匙或許就落入***之手。

這里所說的權威CA機構是指已經通過WebTrust國際認證，根證書由微軟預置，受微軟等各類操作系統、主流移動設備和瀏覽器信任的CA機構；在中國還要附加一項，就是要拿到工信部許可的CA牌照；這樣的CA機構，才有權利簽發各類數字證書，比如沃通（wosign）。

自簽證書是指不受信任的任意機構或個人，自己隨意簽發的證書，容易被***偽造替換。

6、全站https的重要性

情況一：從http頁面跳轉訪問https頁面

事實上，在 PC 端上網很少有直接進入https網站的。例如支付寶網站，大多是從淘寶跳轉過來，而淘寶使用的仍是不安全的 http 協議。如果在淘寶網的頁面里注入 XSS，屏蔽跳轉到https的頁面訪問，用 http 取而代之，那么用戶也就永遠無法進入安全站點了。

盡管地址欄里沒有出現https的字樣，但域名看起來也是正確的，大多用戶都會認為不是釣魚網站，因此也就忽視了。

因此，只要入口頁是不安全的，那么之后的頁面再安全也無濟于事。

情況二：http頁面重定向到https頁面

有一些用戶通過輸網址訪問的，他們輸入了 www.alipaly.com 就敲回車進入了。然而，瀏覽器并不知道這是一個 https 的站點，于是使用默認的 http 去訪問。不過這個http版的支付寶的確也存在，其唯一功能就是重定向到自己 https 站點上。

劫持流量的中間人一旦發現有重定向到https站點的，于是攔下重定向的命令，自己去獲取重定向后的站點內容，然后再回復給用戶。于是，用戶始終都是在 http 站點上訪問，自然就可以無限劫持了。

國外各大知名網站（PayPal,Twitter,Facebook,Gmail,Hotmail等）都通過Always on SSL（全站https）技術措施來保證用戶機密信息和交易安全，防止會話***和中間人***。

7、搜索引擎劫持

事實上，https站點還有個很大的來源 —— 搜索引擎。遺憾的是，國產搜索引擎幾乎都不提供 https服務。

谷歌已開始提供https加密搜索方式。Google在官方博客介紹說，普通的http瀏覽是不安全的，用戶和服務器之間的通訊會被第三方監聽和干擾，對于Google來說，你在Google搜索的詞語會被第三方截獲，如果第三方不希望你在Google搜索這個詞語，還可以通過技術手段阻止用戶的搜索行為。使用https的Google搜索中，用戶搜索的信息將無法被第三方獲取，也不會出現數據泄漏的問題，搜索結果頁面也不會被干擾或篡改。

結語

從上面的各類劫持案例中，我們可以看出，https是很有效的流量劫持防范措施，無論是網絡服務提供商還是廣大網民，為咱自己的帳戶安全和權益，都要形成使用https訪問網站的習慣和意識，重要的網站必定使用 https 協議，登陸時需格外留意！

轉載于:https://blog.51cto.com/20140721/1563737

總結

以上是生活随笔為你收集整理的HTTPS 能否避免流量劫持？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。