京品吉橡胶强人线缆有限公司

如何看待百度全站搜索进入HTTPS时代

2015-03-22  来源:知乎网  我有话说  收藏本文

百度自2014年底起,开始对部分地区开放了HTTPS加密搜索服务。直到上周,百度表示全站开启了HTTPS安全加密搜索。那么,该如何看待“百度全站采用HTTPS加密搜索”呢?

以下为来自知乎网友雷志兴-Berg的看法:

百度在工程开发上几乎不做没有性价比的事情。所以我们先看看https这个事情在技术上的投入在哪里。我没有参与此方面任何工作,都是根据我临时推想得到,比较乱,回头整理:

一、性能方面

1. 多几次握手,网络耗时变长,用户从http跳转到https还要一点时间
2. 机器性能,https要多做一次RSA校验
3. CDN,全国所有节点要支持https才行,另外,如果面对DDOS,https的解决方案也会复杂得多

二、对周边系统的影响

1. 页面里所有嵌入的资源都要改成https的,这些资源可能会来自不同的部门甚至不同的公司,包括:图片、js、form表单等等,否则浏览器就会报警。
2. 手机百度这类使用了百度搜索服务的客户端产品,也可能要修改
3. 解决第三方网站看不到refer的问题
4. 所有的开发、测试环境都要做https的升级
还有,上线前肯定是一大堆预案,保证切换过程顺畅,所以说下来,https这个事情的投入真心很大,不是说换就换的。

好了,这个事情的收益在哪里呢?用户的搜索安全

1. 被运营商强插广告,甚至在正常结果前面插一条广告
2. 有的时候劫持代码还会写错,导致用户访问白屏或者报错,妈蛋。
3. 手机上被浏览器或者什么卫士篡改或者劫持
4. 最恶心的是泄露用户数据,经常在网上看到说「我用百度搜了一个黄金,马上就有人联系我了」「我在百度上搜了一种病,马上医院就来电话了」
5. 另外,对百度的收入也有影响, 有不少公共wifi自动会自动给百度搜索加一个联盟的计费id。
其实在搜索HTTPS很久之前,百度就做了搜索结果url加密,我想应该是基于类似的考虑。

很多互联网公司在做大的时候都会遇到这个问题:https成本高,速度又慢,规模小的时候在涉及到登录和交易用上就够了,做大以后遇到信息泄露和劫持,想整体换,代价又很高。

三、https够不够?

肯定是不够的,但是没有更好的方案了。

附录:为什么更安全的 HTTPS 协议没有在互联网上全面采用?

SSL 证书需要钱。功能越强大的证书费用越高。个人网站、小网站没有必要一般不会用。
SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名。IPv4 资源不可能支撑这个消耗。( SSL 有扩展可以部分解决这个问题,但是比较麻烦,而且要求浏览器、操作系统支持。Windows XP 就不支持这个扩展,考虑到 XP 的装机量,这个特性几乎没用。)
HTTPS 连接缓存不如 HTTP 高效,大流量网站如非必要也不会采用。流量成本太高。
HTTPS 连接服务器端资源占用高很多,支持访客稍多的网站需要投入更大的成本。如果全部采用 HTTPS,基于大部分计算资源闲置的假设的 VPS 的平均成本会上去。
HTTPS 协议握手阶段比较费时,对网站的相应速度有负面影响。如非必要,没有理由牺牲用户体验。
最关键的,SSL 证书的信用链体系并不安全。特别是在某些国家(咳咳,你们懂的)可以控制 CA 根证书的情况下,中间人攻击一样可行。

另外,在客户端被植入无数后门、木马的状况下,HTTPS 连接的作用非常有限。这也许是支付宝不可能像 PayPal 那么易用的原因之一。

(责编:tianji)
关键词: 百度 HTTPS
阅读  次  |  打印  |  关闭
匿名评论

用微信扫一扫

新网巢