最近浏览到一个知问题:某运营同学在试用期期间因为在工作期间上了某 1024 网站,导致试用期不过。
前两天还看到不少推文,大意是:看小电影前一定要注意网址是不是 HTTPS 的,因为 HTTPS 是加密的,别人就不知道了。
看到上面几个问题,我不禁想问(这脑回路也是……):
- 通过浏览器访问 HTTPS 站点,其他人真的没法知道吗?
- 通过 App 访问匿名论坛(HTTPS),公司怎么知道的?(他是不是接入了公司 WiFi?)
总之就是,上班时间上网摸鱼吗?哪怕用 HTTPS 访问,如果公司知道,是通过什么手段?
本文谈谈我的看法,主要分为以下几个方面:
- HTTPS 为什么安全?
- HTTPS 真的安全吗?
- App 如何保证信息安全,不被爬走?
- 公司可能的监控手段有哪些?我们如何做才能确保自己的隐私泄露?
HTTPS 为什么安全
HTTPS,也称作 HTTP over TLS,TLS 前身是 SSL,会有各个版本。
TLS 协议在 TCP/IP 协议栈中的关系
上图描述了在 TCP/IP 协议栈中 TLS(各子协议)和 HTTP 的关系,HTTP+TLS 也就是 HTTPS。
和 HTTP 相比,HTTPS 的优势:
- **数据完整性:**内容传输经过完整性校验。
- **数据隐私性:**内容经过对称加密,每个连接生成一个唯一的加密密钥。
- **身份认证:**第三方无法伪造服务端(客户端)身份。
HTTPS 原理
上图就是大致介绍了 HTTPS 的握手流程,感兴趣的同学可以用 WireShark 抓包详