即使您的網站沒有處理機密通訊內容,仍建議您一律使用 HTTPS 保護所有網站。除了為網站和使用者個人資訊提供關鍵安全性和資料完整性之外,許多新瀏覽器功能都必須採用 HTTPS,尤其是漸進式網頁應用程式的必要功能。
摘要
- 入侵者不僅惡意和良性,會入侵網站和使用者之間的所有未受保護的資源。
- 許多入侵者會查看匯總行為來識別您的使用者。
- HTTPS 不僅不會禁止濫用網站,這也是許多先進功能的需求,並為服務工作站等類似應用程式的功能啟用技術。
HTTPS 會保護網站的完整性
HTTPS 可協助防範入侵者竄改網站和使用者瀏覽器之間的通訊。入侵者包括蓄意惡意攻擊者和合法但具有侵入性的公司,例如將廣告插入網頁的網際網路服務供應商 (ISP) 或飯店。
入侵者會利用未受保護的通訊行為,誘騙使用者提供機密資訊或安裝惡意軟體,或是將自身廣告插入資源。舉例來說,某些第三方會將廣告插入可能破壞使用者體驗的網站,進而產生安全漏洞。
入侵者會濫用從網站和使用者之間傳輸的所有未受保護的資源。圖片、Cookie、指令碼、HTML 等全都都可以利用。入侵發生在網路中的任何位置,包括使用者的機器、Wi-Fi 無線基地台或遭入侵的 ISP,這可能只是其中一部分。
HTTPS 能保護使用者的隱私和安全
HTTPS 會防止入侵者被動地監聽網站和使用者之間的通訊。
HTTPS 的常見誤解是,只有使用 HTTPS 的網站處理敏感通訊內容。每個未受保護的 HTTP 要求都可能揭露使用者行為和身分的相關資訊。雖然每次造訪您其中一個未受保護的網站時可能無害,但有些入侵者會查看使用者的匯總瀏覽活動,以推斷使用者的行為和意圖,並將身分去識別化。例如,員工可能只藉由閱讀未受保護的醫療文章,在不經意間向雇主揭露敏感的健康狀況。
HTTPS 是網路的未來趨勢
功能強大的全新網路平台功能需要使用者明確授權才能執行,例如使用 getUserMedia() 拍照或錄製音訊、透過服務工作站提供離線應用程式體驗,或建構漸進式網頁應用程式。許多較舊的 API 也會更新,要求執行權限才能執行,例如 Geolocation API。HTTPS 是權限工作流程的重要一環,適用於這些新功能和新版 API。