首页 > 优化 > 关键词  > HTTPS搜索最新资讯  > 正文

跟HTTP比起来 HTTPS是如何让搜索更安全的?

2015-05-05 10:36 · 稿源: 站长学院

百度从2014年开始对外开放了https的访问,并于3月初正式对网络用户进行了https跳转。你也许会问,切换就切换呗,和我有啥关系?我平常用百度还不是照常顺顺当当的,没感觉到什么切换。

话说,平常我们呼吸空气也顺顺溜溜的,没有什么感觉,但要是没有了空气,那就没法愉快的生活了。https对于互联网安全的重要性,正如空气对于我们人类的重要性一样。百度全站切换到https之后,我们才可以愉快的搜索,愉快的上网。

https究竟是如何实现让我们更加安全呢?让百度技术宅来个深度揭秘:

问题1:https是什么?我有没有用到https?

https是httpoverssl(SecureSocketLayer),简单讲就是http的安全版本,在http的基础上通过传输加密和身份认证保证了传输过程中的安全性。你通常访问的网站大部分都是http的,最简单的方法可以看看网址是以https://开头还是https://开头。

以下几个截图就是chrome,firefox,IE10在使用https时的效果。

注意图中绿色的部分, 我们后面详细说说。

问题2:https为什么比http安全?https加密是不是需要我在电脑上安装证书/保存密码?

不带“s”的http不安全,主要是因为它传输的是明文内容,也不对传输双方进行身份验证。只要在数据传输路径的任何一个环节上,都能看到传输的内容,甚至对其进行修改。例如一篇文章“攻下隔壁女生路由器后,我都做了些什么”中,很多攻击的环节,都是通过分析http的内容来进行。而在现实生活中呢,你很有可能泄露你的论坛高档会员账号/密码,游戏vip账号/密码,隐私的聊天内容,邮件,在线购物信息,等等。实在是太可怕的有木有!

https之所以安全,是因为他利用ssl/tls协议传输。举个简单的例子,电影风语者中,美军发现密码经常被日本窃听和破解,就征召了29名印第安纳瓦霍族人作为译电员,因为这语言只有他们族人懂。即使日本人窃听了电文,但是看不懂内容也没用;想伪造命令也无从下手,修改一些内容的话,印第安人看了,肯定会说看(shen)不(me)懂(gui)。看到这里,你肯定发现了,这是基于两边都有懂这个语言(加密解密规则)的人才行啊,那么我的电脑上需要安装什么密钥或者证书吗?一般情况作为普通用户是不用考虑这些的,我们有操作系统,浏览器,数学家,安全和网络工程师等等,帮你都做好了,放心的打开浏览器用就好啦。

如果你实在好奇,想知道双方不用相同的密钥如何进行加密的,可以搜索下”公钥加密”(非对称加密),”RSA”,”DH密钥交换”,“ssl原理”“数字证书”等关键词。

有朋友会想了,不就是加密吗,我wifi密码都能破,找个工具分分钟就破解了。这个想法可不对,虽然没有相对的安全,但是可以极大增加破解所需要的成本,https目前使用的加密方式是需要巨大的计算量(按照目前计算机的计算能力)才可能破解的,你会用世界上比较强的比较优秀计算机花费100年(只是一个比喻)去解密,看看100年前隔壁老王在百度上搜什么吗。

问题3:百度为什么要上https?

我们每天会处理用户投诉,比如说:页面出现白页/出现某些奇怪的东西;返回了403的页面;搜索不了东西;搜索url带了小尾巴,页面总要闪几次;页面弹窗广告;搜索个汽车就有人给我打电话推销4s店和保险什么的…

各种千奇百怪的情况碰到过的请举手。查来查去,很大一部分原因是有些坏人在数据的传输过程中修改百度的页面内容,窃听用户的搜索内容。悄悄告诉你,https就是能解决这样问题的技术哦。

从方向上来说,HTTPS也是未来的趋势,目前大家使用的HTTP还是1.1/1.0版本的,新的HTTP2.0版本的标准已经发布了。标准中涉及了加密的规范,虽然标准中没有强制使用,但是已经有很多浏览器实现声称他们只会支持基于加密连接的HTTP2.0(https://http2.github.io/faq/#does-http2-require-encryption)。

问题4:https不就是在http后面加个s,很难么?

难,又不难。

它包含证书,卸载,流量转发,负载均衡,页面适配,浏览器适配,refer传递等等等等。反正我指头肯定不够数。

对于一个超小型个人站点来说,技术宅1天就能搞定从申请证书到改造完成。如果是从零开始建设,会更容易。

但是对于百度搜索这种大胖纸来说,可就难了。

1,它一开始并不是为https设计的

2,内容丰富(内容本身的表现形式很多:图片,视频,flash,form等等),种类丰富(页面上除了自然结果,有视频,图片,地图,贴吧,百科,第三方的内容,app等等)。

3,数据来源复杂,有几十个内部产品线的内容,几百个域名,成千上万个开发者的内容

4,百度在全国,甚至世界范围都有很多idc和cdn节点,都得覆盖到。

5,还不能因此拖慢了百度的速度(国内使用https的银行,在线交易的站点,有没有觉得很慢?)

6,上https本来就是为了更好的体验,可不能导致大家使用不稳定。

Google部署https花费了1-2年,13年将证书从1024位升级到2048位花了3个月。百度也是去年就开放了入口和小流量,但是今年3月才进行全量上线,可以想像整体的复杂性。

问题5:如何看待百度搜索支持全站https?

国外的几个大型站点都https化了,这是未来互联网的趋势(有兴趣的同学可以搜索下’http/2’)。

对百度自身来说,https能够保护用户体验,减少劫持/隐私泄露对用户的伤害。

很多人会有疑惑,我没有被劫持,百度上https有什么作用,反而让我变慢了一些。从我们的首先手数据可以看到,劫持的影响正越来越大,在法制不健全的环境下,它被当成一个产业,很多公司以它为生,不少以此创业的团队还拿到了风投。等它真正伤害到你的时候,你可能又会问我们为什么不做些什么。所以,我们宁愿早一些去面对它。

https在国内的大型站点目前还只用在部分账户的登陆和支付等环节。百度也是国内首先个全站https的大型站点,它的用户非常多,流量也很大。百度能够上线https会打消大家的疑虑,对其他国内的站点是很好的示范,这个带头作用会显著加速国内互联网https的进程,有助于中国互联网的网络安全建设。百度作为搜索引擎,是流量的入口和分发的渠道,后续如果对https的站点内容的抓取,标记,权值倾斜,那么更能引导互联网的网站向https进行迁移。

举报

  • 相关推荐
  • 谷歌拟2027年前完自主开发TPU,摆脱对博通依赖

    谷歌正在考虑将目前由博通提供的张量处理单元完全引入内部,以降低成本。谷歌高管一段时间以来一直在讨论切断与博通的关系,目标是在2027年之前实现TPU的完全自主开发。此举与亚马逊和微软的做法一致,后两者也在探索内部开发更多AI芯片的可能性。

  • 智源开源中英文语义向量模型训练数据集MTP

    智源研究院发布面向中英文语义向量模型训练的大规模文本对数据集MTP。这是全球最大的中、英文文本对训练数据集,数据规模达3亿对,希望推动解决中文模型训练数据集缺乏问题。作为中国大模型开源生态圈的代表机构,智源持续进行包括数据在内的大模型全栈技术开源,推动人工智能协同创新。

  • 恒生电子:恒生大模型产品LightGPT已开启内测

    恒生电子宣布,恒生大模型产品已面向20家金融机构开启内测。恒生金融行业大模型LightGPT是专为金融领域打造的大语言模型,具有更专业、更合规和更轻量的特点。光子是基于LightGPT的智能助手,可以无缝集成到金融机构的投顾、客服、运营、合规、投研、交易等业务系统中,为从业人员提供智能化的辅助功能。

  • 微软推出用于 Azure AI Health Insights 的新 AI 模型

    微软通过AzureHealthInsights发布了一系列专为医疗保健行业定制的数据和人工智能产品。这些工具旨在帮助医疗机构利用其产生的大量数据,从改善患者护理并简化运营。该工具很快将提供多种语言版本,包括西班牙语、法语、意大利语、德语、葡萄牙语和希伯来语。

  • Yeelight易来旗下新子品牌凌动,真能让小白也卖智能?

    文/智能头条相比传统照明,智能照明为家庭成员营造了更加便捷、舒适、精准以及健康的光环境,实现了更加的舒适的场景体验。智能照明领导品牌Yeelight易来推出全新智能子品牌“Yeelight凌动”,为经销商量身定制了一个集产品、展示、销售服务于一体的智能照明解决方案。Yeelight通过提升效率的方式,满足用户对提升生活品质和舒适性的追求,其次是技术成熟价格降低带来了更低门槛,以及产品的易用性提升,有助于行业规模的持续扩大,形成良性循环。

  • AI PPT神器:秒出PPT,10秒做出PPT

    01输入主题,一键生成做PPT没有思路?强大的AI功能让你事半功倍!针对不同演示场景,任意挑选、随意切换,让你也拥有“别人家的PPT”!

  • AI初创企业冲击传统金融 新加坡Silent Eight进军反洗钱领域

    新加坡总部的AI初创公司SilentEight正致力于利用人工智能技术,协助金融机构打击洗钱等金融犯罪。该公司的软件基于新兴的生成式AI技术,通过模拟人类调查员的工作流程进行训练,可自动分析大量交易数据,标识可疑交易。SilentEight能否在竞争激烈的支付和监管科技领域脱颖出,其未来上市计划的成功与否备受关注。

  • Replit将GhostWriter融入核心平台 面开源AI开发工具

    开发工具供应商Replit近日宣布一系列新举措,旨在为所有开发者带来人工智能。Replit的云软件开发平台广泛应用,声称拥有超过2千万用户。他表示:“我们在128块NvidiaH100-80GGPU上进行了训练,这些GPU如今已经变得像黄金一样稀缺。

  • OpenAI 宣布自 GPT-4 发布以来的最大更新:ChatGPT 现在可以「看、听、说」

    OpenAI宣布,其聊天机器人ChatGPT现在可以「看、听、说」,或者至少能够理解口语,用合成的声音回应并处理图像。这次更新是自引入GPT-4以来OpenAI最大的一次改进。但该公司还指出,在此过程中转录被视为输入,并可能用于改进大型语言模型。

  • 腾讯开源StableDiffusion工作流保存插件LightDiffusionFlow

    腾讯宣布开源LightDiffusionFlow,LightDiffusionFlow是一个开源插件,基于AI绘画开源平台StableDiffusionwebUI开发来。它可以帮助用户一键保存和复现SD绘画工作流,包括模型、提示词、垫图和其他第三方插件的参数设置。对于SD初学者来说,使用Flow文件可以快速上手SD,降低学习和使用门槛;对于SD进阶者来说,可以保存优质的工作流并快速复用,减少操作成本,并传播AI绘画能力;对于企业团队来说,可以建立可复用的AI绘画工作流,快速建立团队的AI绘画能力,实现降本增效。