security - 为什么不是所有网络流量都默认使用 https 进行加密? (或加密的 http)

标签 security http https

<分区>

Possible Duplicate:
Will it ever be possible to run all web traffic via HTTPS?

为什么使用加密进行安全通信的概念与在 https 中确认网站身份相关联?使用 256 位 key 加密他们的 http 流量难道不是所有网络用户都能从中受益吗?

有大量站点使用可以窥探的 http 传输用户的登录名/密码。用户并没有那么精明地避开所有这些薄弱的站点,并且经常对安全薄弱的站点和安全性强的站点使用相同的凭据。 (有些网站,例如 Twitter,甚至没有明确表示它们在您登录时使用 https,它们确实使用 https,但您无法从它们的主页上轻易分辨出未加载 https。)

在 http 上使用 https 时,性能会略有下降,但它是否足以抵消确保所有用户网络通信安全的好处?我认为 https 和扩展的 https 验证对于让用户知道他们正在与谁打交道非常有用。但是,即使您不知道您在与谁打交道或者不需要那么信任他们,难道不是通过使 http 流量更难以监视来提高所有用户的整体安全性吗?

最佳答案

不要忘记浏览器通常不会缓存通过 https 获得的任何内容 - 如果默认使用它,页面加载速度会变慢并且带宽使用量会增加。

看起来那是不正确的 - 我的观察是基于我从未见过缓存内容的银行网站,但显然这取决于常规的 HTTP 缓存控制 header 。

另见类似问题的答案 Will it ever be possible to run all web traffic via HTTPS?

关于security - 为什么不是所有网络流量都默认使用 https 进行加密? (或加密的 http),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1098754/

相关文章:

javascript - 如何从 ajax 调用中模拟 501 错误

Android - LoopJ AndroidAsyncHttp - 无 POST 参数

java - 重新连接问题

docker - Heroku和Google Cloud Run上的HTTP请求不同

security - 如何使用 HTTP 基本身份验证解决密码哈希复杂性?

javascript - angularjs ui-router 解析不是不安全吗?

django - 如何避免 POST 中的敏感信息出现在日志和调试邮件中?

javascript - 如果某些脚本删除了先前加载或包含的脚本,那么异步加载 webapps 会发生什么?

amazon-web-services - 使用 HTTPS 终端节点时从 Amazon SNS 获取 "SSLPeerUnverifiedException"

http - 如何将 Python urllib.request 代码翻译成 Java 代码