真正的HTTPS?如何?
/使用Google瀏覽器/
如果我訪問:
https://secure.wikimedia.org/wikipedia/en/wiki/File:Nokota_Horses_cropped.jpg
然後是:
http://upload.wikimedia.org/wikipedia/commons/d/de/Nokota_Horses_cropped.jpg
位於僅 HTTP 的伺服器上。
那麼我怎麼能 100% 確定,如果我在瀏覽器的 URL 欄中看到“HTTPS”,這意味著網站的全部內容真的被加密了?
在我的例子中,維基百科上的圖片沒有使用加密(?),所以嗅探器可以知道我正在訪問一個關於馬的維基百科網站。
我是否應該安裝一個代理(例如:privoxy),以確保不會在“HTTPS 站點”上傳入任何僅 HTTP 元素?
謝謝..
如果 HTTPS 頁面上有 HTTP 內容,大多數瀏覽器都會讓您收到警告。如果您訪問的網站在其 HTTPS 頁面上混合了 HTTP 內容,這可能會非常煩人。從您的問題看來,維基百科就是其中之一。正確設置後,Firefox 會警告我訪問此頁面。
Web 伺服器不需要提供 HTTPS。許多網站不提供 HTTPS,而其他網站可能僅使用它來保護登錄螢幕和他們認為需要安全路徑的其他內容。即使您使用 HTTPS,仍然可以確定您正在瀏覽哪些伺服器。在許多情況下,伺服器只託管一個站點,因此該站點也是已知的。
直到最近,HTTPS 所需的證書還是相當昂貴的。根據所需的信任級別,成本仍然很高。需要高度信任和安全性的銀行和其他組織將為他們的證書付出高昂的代價。
如果您希望對本地監控隱藏您的流量,您可以使用代理的安全路徑。這可能會向監視您的流量的人發出危險信號。
如果您使用私有代理,代理下游的任何人都將能夠確定您試圖隱藏的大部分資訊。