web/html/为什么有些网站主站是https加密,但站上其他又不是?靠什么来保证安全性?
HTTPS 并不能完全保证安全,只是能很大程度上防止“中间人攻击”,但它需要在客户端本身安全的情况下才有效,如果客户端已经被一堆病毒木马控制,HTTPS 则没什么作用了。何为中间人攻击,题主可以自行搜索。
百度首页虽然只是搜索,但其是却是几乎百度所有产品最大的入口,有一个最需要 HTTPS 的地方就是——登录百度账号。至于题主所说的“搜索不怕偷窥”,这个完全是仁者见仁智者见智的,你说无所谓,但还有很多人不是这样的。
另外据我所知,从2015年3月份起百度的全线产品均支持 HTTP/HTTPS 两种方式访问。HTTP 走的是80端口,HTTPS 走的是443端口,而浏览器在不手动输入协议的情况下是默认走的80的。百度的首页做了一个强制重定向到 HTTPS 站点而已,实际上通过编程等方式直接 POST 参数到 HTTP 站点上依旧是可以访问的。百度的其他站点你可以通过手动输入 HTTPS 的方式来访问。
至于为什么没直接所有站点都强制使用 HTTPS,主要原因有两个。一是百度的各个站点内部结构十分复杂,如果强制切换,各种静态资源和服务接口等就需要全部 HTTPS 化,这是需要时间的。二是目前为止 HTTPS 在 CDN 上还没有太成熟的解决方案,对于 DDOS 也不能很好的防范。所以现阶段是两者并存,但随着 HTTP2.0 的普及,以后越来越多的站点会过渡到 HTTPS 上的,这只是时间问题而已。当然百度肯定还会有其他各方面的考虑。
另外没理解题主所说的“个人标识”是什么?
谢谢,答得不错。那么你的意思就是承认了百度网盘比百度首页更存在安全隐患或者你说的中间人攻击的可能?
我说的个人标识,指的是,比如你回答的这个百度知道页面,有一个问题ID,2141915449355685708,这就是标识。那么为什么个人百度网盘没有(虽然我没打开过别人的网盘,但估计每个人的地址栏都显示一样的url),我主要是感兴趣它这种“标识”技术是如何实现的。
百度网盘虽然本身没有强制使用 HTTPS,但是其登录部分却是使用的 HTTPS(也即 passport.baidu.com 这个站点强制要求 HTTPS)。对于中间人攻击来说,已经有很大防范了。
个人首页 URL 无字段标识身份,是通过 Cookie+Session 实现的;但是查看其他人是有 uk 这个字段的,改变 uk 就是看不同的人了。
