技术宅告诉你如何搜索更安全

前言

百度从14年开始就已经对外开放了HTTPS的访问,并于15年3月初正式对全网用户进行了HTTPS跳转。

你也许会问,切换就切换呗,和我有啥关系?我平常用百度还不是照常顺顺当当的,没感觉到什么切换。

话说,平常我们呼吸空气也顺顺溜溜的,没有什么感觉,但要是没有了空气,那就没法愉快的生活了。HTTPS对于互联网安全的重要性,正如空气对于我们人类的重要性一样。百度全站切换到HTTPS之后,我们才可以愉快的搜索,愉快的上网。

HTTPS究竟是如何实现让我们更加安全呢,让百度技术宅来个深度揭秘:

问题1HTTPS是什么?我有没有用到HTTPS

以下几个截图就是Chrome,Safari在使用HTTPS时的效果。

HTTPS是HTTP over SSL(Secure Socket Layer),简单讲就是HTTP的安全版本,在HTTP的基础上通过传输加密和身份认证保证了传输过程中的安全性。要观察是否用到了HTTPS,最简单的方法可以看看网址是以http://开头还是https://开头

注意图中锁的图标,我们后面详细说说。

想进一步了解HTTPS,可以阅读《大型网站的HTTPS实践(一)–HTTPS协议和原理》。

问题2HTTPS为什么比HTTP安全?HTTPS加密是不是需要我在电脑上安装证书/保存密码?

不带“S”的HTTP不安全,主要是因为它传输的是明文内容,也不对传输双方进行身份验证。只要在数据传输路径的任何一个环节上,都能看到传输的内容,甚至对其进行修改。例如一篇文章“攻下隔壁女生路由器后,我都做了些什么”中,很多攻击的环节,都是通过分析HTTP的内容来进行。而在现实生活中呢,你很有可能泄露你的论坛高级会员账号/密码,游戏VIP账号/密码,隐私的聊天内容,邮件,在线购物信息等等。实在是太可怕的有木有!

HTTPS之所以安全,是因为他利用SSL/TLS协议传输。举个简单的例子,电影《风语者》中,美军发现密码经常被日本窃听和破解,就征召了29名印第安纳瓦霍族人作为译电员,因为这语言只有他们族人懂。即使日本人窃听了电文,但是看不懂内容也没用;想伪造命令也无从下手,修改一些内容的话,印第安人看了,肯定会说看(shen)不(me)懂(gui)。看到这里,你肯定发现了,这是基于两边都有懂这个语言(加密解密规则)的人才行啊,那么我的电脑上需要安装什么密钥或者证书吗?一般情况作为普通用户是不用考虑这些的,我们有操作系统、浏览器、数学家、安全和网络工程师等等,帮你都做好了,放心的打开浏览器用就好啦。

如果你实在好奇,想知道双方不用相同的密钥如何进行加密的,可以搜索下“公钥加密”(非对称加密),“RSA”,“DH密钥交换”,“SSL原理”,“数字证书”等关键词。

有朋友会想了,不就是加密吗,我Wi-Fi密码都能破,找个工具分分钟就破解了。这个想法可不对,虽然没有绝对的安全,但是可以极大增加破解所需要的成本,HTTPS目前使用的加密方式是需要巨大的计算量(按照目前计算机的计算能力)才可能破解的,你会用世界上最强的超级计算机花费100年(只是一个比喻)去解密,看看100年前隔壁老王在百度上搜什么吗。

问题3:百度为什么要上HTTPS?

我们每天会处理用户投诉,比如说:

页面出现白页/出现某些奇怪的东西

返回了403的页面

搜索不了东西

搜索URL带了小尾巴,页面总要闪几次

页面弹窗广告

搜索个汽车就有人给我打电话推销4s店和保险什么的

各种千奇百怪的情况碰到过的请举手。

查来查去,很大一部分原因是有些坏人在数据的传输过程中修改百度的页面内容窃听用户的搜索内容。悄悄告诉你,HTTPS就是能解决这样问题的技术哦。

从方向上来说,HTTPS也是未来的趋势,目前大家使用的HTTP还是1.1/1.0版本的,新的HTTP2.0版本的标准已经发布了。标准中涉及了加密的规范,虽然标准中没有强制使用,但是已经有很多浏览器实现声称他们只会支持基于加密连接的HTTP2.0(https://http2.github.io/faq/#does-http2-require-encryption)。

问题4HTTPS不就是在HTTP后面加个S,很难么?

难,又不难。

它包含证书、卸载、流量转发、负载均衡、页面适配、浏览器适配、refer传递等等等等,反正我指头肯定不够数。

对于一个超小型个人站点来说,技术宅1天就能搞定从申请证书到改造完成。如果是从零开始建设,会更容易。

但是对于百度搜索这种大胖纸来说,可就难了。

  1. 它一开始并不是为HTTPS设计的。
  2. 内容丰富(内容本身的表现形式很多:图片、视频、Flash、Form等等),种类丰富(页面上除了自然结果,有视频、图片、地图、贴吧、百科、第三方的内容、APP等等)。
  3. 数据来源复杂,有几十个内部产品线的内容,几百个域名,成千上万个开发者的内容。
  4. 百度在全国,甚至世界范围都有很多IDC和CDN节点,都得覆盖到。
  5. 还不能因此拖慢了百度的速度(国内使用HTTPS的银行,在线交易的站点,有没有觉得很慢?)。
  6. 上HTTPS本来就是为了更好的体验,可不能导致大家使用不稳定

想了解更详细的内容,可以阅读《百度HTTPS部署实践》。

Google部署HTTPS花费了1-2年,13年将证书从1024位升级到2048位花了3个月。百度也是从14年就开放了入口和小流量,但是直到15年3月才进行全量上线,可以想像整体的复杂性。

问题5:如何看待百度搜索支持全站HTTPS

对百度自身来说,HTTPS能够保护用户体验,减少劫持/隐私泄露对用户的伤害

很多人会有疑惑,我没有被劫持,百度上HTTPS有什么作用,反而让我变慢了一些。从我们的第一手数据可以看到,劫持的影响正越来越大,在法制不健全的环境下,它被当成一个产业,很多公司以它为生,不少以此创业的团队还拿到了风投。等它真正伤害到你的时候,你可能又会问我们为什么不做些什么。所以,我们宁愿早一些去面对它。

百度也是国内第一个全站HTTPS的大型站点,它的用户非常多,流量也很大。百度上线HTTPS打消了大家的疑虑,对其他国内的站点是很好的示范,这个带头作用显著加速了国内互联网普及HTTPS的进程,有助于中国互联网的网络安全建设。百度作为搜索引擎,是流量的入口和分发的渠道,后续如果对HTTPS的站点内容的抓取、标记、权值倾斜,那么更能引导互联网的网站向HTTPS进行迁移。

问题6HTTPS慢不慢?

繁重的计算和多次交互天然的影响了HTTPS的访问速度……如果什么优化都不做,HTTPS会明显慢很多。在百度已经进行过很多速度优化的条件下,如果站点本身已经做过常规优化,但是不针对HTTPS做优化,这种情况下我们实测的结果是0.2-0.4秒耗时的增加。如果是没有优化过的站点,慢1秒都不是梦。至于现在慢不慢呢,大家已经体验了这么久了,有感觉吗?

答案:

  1. 慢死了,你们在做啥?
  2. 有些慢啊
  3. 还行,基本无感
  4. 啥,我已经用了HTTPS了?

是不是选的C或者D?喂喂,选A的那位你打开别的网站慢么,以前没有上HTTPS的时候慢么……隔壁老王在蹭你网呢。

所以,不是慢,是没有优化。

问题7HTTPS耗性能吗?

答案是,握手的时候耗,建好连接之后就不太耗了。按照目前加密强度的计算开销,服务器支撑握手性能会下降6-8倍,但是如果建立好连接之后,服务器就几乎可能撑住打满网卡的HTTPS流量了。所以连接复用率的提升计算性能的优化都是重点。可以阅读《百度HTTPS性能优化经验》。

问题8:劫持有些什么样的途经?

你的电脑,你设置的DNS,你的浏览器,你用的网络,都有可能被劫持。

简单和大家介绍下运营商的内容劫持是如何进行的,运营商会分析你的网络请求,它可以先于网站回包,也能修改数据包的内容。所以它可以让你跳转一次,在网址上加上小尾巴,也能在你访问的页面弹出小广告。

感兴趣的话,还可以通过这篇文章看看你的电脑如何被ISP劫持的《暗云木马》。

问题9HTTPS解决了所有劫持问题吗?

俗话说有终有始,我们来说一说文章开始说的浏览器上锁的图标。它标志着这个安全连接可信赖的级别。若访问非HTTPS网站,就存在被劫持的风险,浏览器也会提示网站不安全。

其实客户端、局域网的风险也很大,恶意插件、木马可以做很多事情,你使用的路由器、DNS也比较脆弱。如果某个大型网站被标记为了红色,那你就更要小心了,你有可能遭受了SSL劫持(中间人攻击的一种),特别是遇到如下图提示的时候(访问一些自己签名的站点也会有类似的提示)。中间人攻击还有其他种类的,比如代理你的通信让你退化HTTP,还可以利用注入根证书,可以让你浏览器还是绿色的标记,就问你怕不怕?

还是那句话,没有绝对的安全,但是我们可以尽量降低风险。

HTTPS能够在绝大部分情况下保证互联网访问数据传输的安全,这是目前我们力所能及的工作。

问题10:我应该如何更爽更快切换到HTTPS?

如此强悍有用的HTTPS,我也想体验,在安全的互联网世界中翱翔,那么我该怎么做呢?

实际上你不需要动手,百度的攻城狮已经体贴的帮你做到了。现在访问百度试试,我们已经自动切换到HTTPS了,再也不用担心隐私泄露的问题,赶紧来体验吧!

另外以下一些技巧能有让HTTPS有更好的性能哦:

  1. 使用更高端大气上档次的浏览器,最好是非IE系列的,比如Chrome、Firefox、Safari浏览器,或者百度等双核浏览器的极速模式。
  2. 把浏览器首页或者收藏夹的百度URL也换为https://www.baidu.com,可以让你有更快更好的体验。

文章整理自百度HTTPS技术联合团

Image placeholder
LvJe
未设置
  92人点赞

没有讨论,发表一下自己的看法吧

推荐文章
三个方面告诉你,为什么说传统安全托管服务已过时

随着组织发展其安全程序,其安全环境的复杂性也在增长。复杂性和变化要求采用一种全新的方式来应对现代安全运营中心(SOC)。根据Gartner的数据现实,到2022年,50%的SOC将转变为具有集体事件响

两个月三项成果,对标谷歌!独家对话小米AutoML团队,如何让模型搜索更公平

大数据文摘出品作者:曹培信机器学习自动化(AutoML)正在引领机器学习的下一个时代,而要想让机器自己学会“炼丹”,其中最关键的步骤就是,找到最合适的算法模型,也即自动化神经架构搜索(NeuralAr

为什么学编程?9个理由告诉你编程是最好的工作

  为什么要学习编程?可能大部分给出的答案就是因为开发工作的薪资高啊。的确这是学编程开发的原因之一,但这并不是全部的答案,下面将为大家提供9个理由告诉你编程才是最好的工作。也许你会改变对编程的看法。

Python分析42年高考数据,告诉你高考为什么这么难?

大数据文摘授权转载自数据森麟作者:徐麟对于已经工作的“上班族”来说,6月7号到9号三天无疑是兴奋到飞起的,终于迎来了令人愉悦的端午假期。然而有那么一群人,将在端午节日之际迎来人生特别重要的一次经历或者

网易云音乐热评的规律,44万条数据告诉你

本文转载自凹凸数读网易云的每日推荐里藏着你听过的歌,你听过的歌里藏着你的故事。网易云音乐的评论里,藏着许多人的故事。我们爬取了网易云音乐歌单中48400首歌的444054条热评,来看看网易云的热门评论

一文告诉你全世界最顶级的开发者都在使用什么数据库

作为一名IT行业从业者,其实从去年已经隐隐约约感觉到数据库的有变化,只是没有想到变得这么快。今年的一些事情实实在在地给了某些数据库重击,如果以前去某数据库还是喊喊,然后该用还用,今年从传统领域刮起的去

一座岛告诉你,什么是智慧!

华为中国生态伙伴大会2019已落下帷幕,两天的时间,华为向大家展示了什么是智慧,什么才是真正的数字世界,当然还有那座仅用30天打造的一座“智慧岛”。

Fortinet的云安全观:上云≠安全 云安全市场或迎“又一春”!

近年来网络攻击事件频繁发生,企业对于网络安全的关注度已经到达前所未有的高度,如何保证业务的正常运转是每个企业最为关注的问题之一。而随着越来越多的企业将业务扩展到云端,云上安全问题也成为企业必谈的话题!

打好网络安全攻坚战 思科年度安全报告系列关注未知安全挑战

当网络攻击愈演愈烈,当勒索软件愈加嚣张,企业对于网络安全的重视程度稳步提升。网络安全在企业中的地位从没像今天这般高涨。但不可否认的是,即便企业提升了对网络安全的防护,但网络安全威胁依旧长期存在且愈加复

一步步教你如何在 Django REST API 中构建使用 JWT 验证

基于令牌的身份验证,允许后端服务与前端(无论是web端,原生移动端或其他端)分离,并驻留在不同域中。JSONWebTokens(JWT)是一种流行的令牌认证实现,在本文中,我们使用它来验证,通过Dj

PHP 安全问题入门:10 个常见安全问题 + 实例讲解

相对于其他几种语言来说,PHP在web建站方面有更大的优势,即使是新手,也能很容易搭建一个网站出来。但这种优势也容易带来一些负面影响,因为很多的PHP教程没有涉及到安全方面的知识。 此帖子分为几部分

[PHP 安全] OWASP 维护的 PHP 安全配置速查表

介绍 这个页面的目的是为了帮助那些配置PHP和运行它的web服务器的人确保它的安全性。 下面你将找到有关php.ini文件的正确配置信息。 php.ini 下面的一些设置需要适应你的系统,特别是se

梆梆安全:做以结果为导向的安全服务商

作为国内领先的安全服务提供商,梆梆安全不谈概念,始终从基本出发,致力于解决客户的根本性问题。通过运用领先技术提供专业可靠的服务,为全球政府、企业、开发者和消费者打造安全、稳固、可信的安全生态环境,其用

云架构远没想象般安全 派拓网络五大建议助力云安全

当企业业务大量向云端转移,云上安全问题变得愈加严峻,如何保障云端业务的安全成为企业关注的重点问题之一。前不久,网络安全企业PaloAltoNetworks(派拓网络)发布了一份云安全报告,揭示亚太区大

周鸿祎:360回归企业安全 携手安全生态打好网络攻坚战

8月19日,主题为“应对网络战、共建大生态、同筑大安全”的第七届互联网安全大会在北京雁栖湖国际会展中心隆重开幕,来自国内外的百余位专家共同讨论全球网络安全的最新形势,从战略、产业和技术等多个层面,探讨

微软张若非:搜索引擎和广告系统,那些你所不知的AI落地技术

这两年,被誉为“ 皇冠上的明珠”的自然语言处理领域发展愈发火热,成为了业内新宠,而 搜索和广告这两大老牌技术领域似乎已被大家遗忘。其实,这两大接地气的工程领域仍是各企业竞相抢夺的市场之一。近日,AI科

2019年度IT168技术卓越奖名单:网络安全类

临近岁末,又要到和一年说再见的时候了。对于网络安全领域来讲,即将成为过去的2019年是网络安全市场快速增长的一年。有数据显示,“十三五”以来我国网络安全产业保持了高速增长,2019年产业规模预计超过6

这波技术社区的程序员,技术视野有点堪忧!

前一段时间写了一篇文章《凌晨1点突发致命生产事故,人工多线程来破局!》,只是一篇生产事故的记实文章,没想到在圈内流传甚广,其中有程序员对其中的细节有点疑惑,刚好国庆可以和大家再进一步探讨一下。现在技术

冬虫夏草之技术路线图之一【“技”——技术篇】

作为一名28年证券机构从业经历的老兵,杨松一直在观察和研究IT技术对金融机构的业务重构,以及证券业务变革相关的内容。今天,让我们来看看这位金融业内人士如何利用他28年的行业积累,通过“技”“术”“路”

“我是技术总监,你干嘛总问我技术细节?”

题图:fromZoommy每个周末的午后,把儿子送进EF读书,随后找个环境幽静的咖啡馆坐一会,这便是我一周中最放松的时光。在咖啡厅的气氛和环境这两点上,我似乎有强迫症,比如装修主色调的运用,地上装饰是

2019年度IT168技术卓越奖名单:技术开发类

与边缘计算、人工智能、量子计算、区块链等高大的技术不同,以ERP、CRM、BI等为代表的应用类软件正在以更创新、更接地气的方式,深入到各个行业。所以,PaaS正在成为云时代的主角。基于PaaS,Saa

同义词搜索是如何做到的?

前面几个章节我们使用到了Lucene的中文分词器HanLPAnalyzer,它并不是Lucene自带的中文分词器。Lucene确实自带了一些中文分词器,但是效果比较弱,在生产实践中多用第三方中文分词器

react如何写搜索框

react如何写搜索框react写搜索框的思路:1、添加一个input框,为它绑定onChange事件2、在onChange事件中通过拼接url和input框的内容得到一个搜索链接;3、通过fetch

如何在复杂的后端系统中保证数据库安全?

以技术为中心的时代,信息至关重要。数据库及其安全性已成为每个企业极具挑战性的任务。数据库可以包含关键信息,例如个人身份、信用卡信息、金融交易以及应用程序密码,这些都是对黑客和网络犯罪分子有价值的信息。

面对网络风险 企业应当如何部署安全策略?

有关数据泄露和漏洞的突发层出不穷,这些数据泄露和漏洞对企业的财务和声誉有着非常大的影响。企业高管似乎无法摆脱预警头条的抨击,以及由专家组成的轰炸,这些专家就如何避免这些网络安全攻击提出了一些建议。尽管