说实话,大多数人看到网址左侧有绿色锁标记和”安全”一词时,都会认为这个网站肯定是安全的。同样,看到”此网站使用安全连接”或者以”https”开头的网址大多数人也很放心。但现在,越来越多的网站在切换到HTTPS。事实上,大多数人都没其他选择。那么问题在哪儿呢?网站越安全越好 – 对不对?
安全连接并不等于安全网站
绿色锁标记表示已经对该网站颁发证书,并且为其生成了一对加密密钥。这类网站会加密你与网站之间传输的信息。在这种情况下,页面URL地址均以HTTPS开头,最后一个”S”表示”安全”。
加密传输的数据当然是件好事。这意味着ISP、网络管理员、入侵者等第三方无法访问你的浏览器和网站之间交换的信息。你可以在这类网站上输入密码或信用卡详细信息,而不用担心被人窥探。
但问题是从绿色锁标记和颁发的证书中,看不出不网站本身是什么。网络钓鱼页面也可以轻松获得证书并加密您与网站之间的所有流量。
简而言之,所有绿色锁标记只能确保没有其他方可以偷窥你输入的数据。但是,如果网站本身是假冒的,那么你的密码仍然会被盗取。
网络钓鱼犯罪分子们在积极利用这一点:据Phishlabs称,如今有四分之一的网络钓鱼攻击是在HTTPS网站上进行的(两年前这一比例还不到1%)。此外,超过80%的用户认为,只要网址旁边有绿色锁标记和”安全”字样就说明网站是安全的,所以他们不会过多考虑就会输入自己的信息。
如果锁标记不是绿色的呢?
如果地址栏没有显示任何锁状标记,说明该网站未使用加密,而是使用标准HTTP与你的浏览器交换信息。目前,Google Chrome已经开始将这类网站标记为不安全。事实上,这类网站有可能完全没问题,但因为不加密你与服务器之间的流量,所以才标记为不安全。大多数网站所有者并不希望Google把自己的网站标记为不安全,所以越来越多的网站开始迁移到HTTPS。不管怎样,在HTTP网站上输入敏感数据都不是什么好事 – 因为任何人都可以窥探到这些信息。
你可能见过另一种类型的网址,锁形标记上带红色叉线,并且HTTPS字母标记为红色。这意味着该网站有证书,但证书未经验证或已过期。也就是说,你和服务器之间的连接是加密的,但是没人能保证这个域名确实属于该网站上指示的公司。这是最可疑的情况;通常这类证书仅用于测试目的。
另外一种情况是,如果证书已经过期,而所有者没有及时更新证书,则浏览器也会将页面标记为不安全,但是通过显示红色锁警告以更显眼的方式提醒。无论是哪种情况,都应把红色标记视为警告,避免访问这些网站 – 千万别在这些网站上输入任何个人数据。
如何避免吞下诱饵
总而言之,证书和绿色锁标记的存在意味着你和站点之间传输的数据是加密的,并且证书是由可信证书颁发机构颁发的。但是这并不能阻止HTTPS网站是恶意网站,这是网络钓鱼诈骗犯们运用最娴熟的伎俩。
因此,无论网站看起来多么安全,都要时刻保持警惕。