https協(xié)議 運(yùn)營(yíng)商干的“好事”

　　摘要：https協(xié)議，運(yùn)營(yíng)商干的“好事”。真的是好事，不加引號(hào)的好事。你可能沒(méi)有注意到，用百度搜索時(shí)，瀏覽器地址欄里的 http 已經(jīng)成為永遠(yuǎn)的過(guò)去時(shí)，接棒的是更安全的 https。這家中國(guó)最大的搜索引擎，于2015年3月份做出了一個(gè)重要的決定——全站強(qiáng)制啟用 https 連接。此時(shí)距離 Google 做這件事，過(guò)去了1年半。

　　真的是好事，不加引號(hào)的好事。

　　你可能沒(méi)有注意到，用百度搜索時(shí)，瀏覽器地址欄里的 http 已經(jīng)成為永遠(yuǎn)的過(guò)去時(shí)，接棒的是更安全的 https。這家中國(guó)最大的搜索引擎，于2015年3月份做出了一個(gè)重要的決定——全站強(qiáng)制啟用 https 連接。此時(shí)距離 Google 做這件事，過(guò)去了1年半。

　　無(wú)獨(dú)有偶。同年10月14日，杭州云棲大會(huì)上，阿里巴巴宣布旗下電商平臺(tái)已實(shí)現(xiàn)全站 https。環(huán)球網(wǎng)的報(bào)道稱，“阿里巴巴已經(jīng)成為全球首家支持全站HTTPS的電商公司。與之形成鮮明反差的是一些電商網(wǎng)站，如京東、亞馬遜等僅僅是在登錄或交易頁(yè)面啟用了 https。對(duì)于用戶來(lái)說(shuō)，這種處理方式更像是‘隔靴搔癢’。”

　　細(xì)心的朋友可能會(huì)發(fā)現(xiàn)，2015年末2016年初這段時(shí)間，除了百度、阿里，像知乎這樣前沿的技術(shù)公司也開(kāi)始轉(zhuǎn)向全站 https 連接——網(wǎng)址前增加了一個(gè)小鎖樣式的圖標(biāo)。對(duì)于一般用戶來(lái)說(shuō)，這把小鎖既熟悉又陌生：熟悉是因?yàn)樵诟鞔缶W(wǎng)站的登錄和交易頁(yè)面經(jīng)常見(jiàn)到，陌生是因?yàn)槿粘ＴL問(wèn)的大部分網(wǎng)站并不會(huì)上鎖。

　　毫無(wú)疑問(wèn)，上鎖是為了安全，上鎖是未來(lái)趨勢(shì)，上鎖的網(wǎng)站更受搜索引擎待見(jiàn)。但是，萬(wàn)萬(wàn)沒(méi)想到，在國(guó)內(nèi)網(wǎng)絡(luò)環(huán)境中，對(duì)安全最大的威脅居然是來(lái)自讓互聯(lián)網(wǎng)公司敢怒不敢言的運(yùn)營(yíng)商。2015年12月25日，騰訊、小米、360、今日頭條、美團(tuán)大眾點(diǎn)評(píng)網(wǎng)、微博六家公司發(fā)布聯(lián)合聲明，共同呼吁打擊流量劫持問(wèn)題。聲明中雖然只敢說(shuō)“某些機(jī)構(gòu)”劫持流量，但業(yè)內(nèi)人士都知道“某些機(jī)構(gòu)”是誰(shuí)以及他們有多么大膽地耍流氓。

　　幾乎每一個(gè)用戶都遇到過(guò)，用手機(jī)打開(kāi)的網(wǎng)頁(yè)被中國(guó)移動(dòng)或聯(lián)通或電信，強(qiáng)行插入業(yè)務(wù)訂購(gòu)菜單或非法彈窗廣告，哪怕是在微信里打開(kāi)的頁(yè)面也在劫難逃。這些莫名其妙的菜單和彈窗廣告，不僅嚴(yán)重影響了用戶正常的瀏覽體驗(yàn)，而且讓用戶感到困惑，擔(dān)心自己的隱私被正在訪問(wèn)的網(wǎng)站泄露。并不是所有人都知道，實(shí)際上這些內(nèi)容是運(yùn)營(yíng)商公然在別人的網(wǎng)站里注入自己的代碼才實(shí)現(xiàn)的。

　　業(yè)內(nèi)人士在網(wǎng)絡(luò)上抱怨，“2015年下半年開(kāi)始，運(yùn)營(yíng)商劫持流量已經(jīng)到了駭人聽(tīng)聞的地步，難以相信某家全國(guó)知名網(wǎng)站的百分之多少流量被劫持，難以相信超過(guò)50%的用戶投訴電話是因?yàn)檫\(yùn)營(yíng)商干的好事?！笨峙赂y以置信的是，某運(yùn)營(yíng)商將這項(xiàng)業(yè)務(wù)命名為 ipush 推送廣告，明目張膽地招商，吸引廣告主。

　　在知乎問(wèn)題“為什么 2015 年底各大網(wǎng)站都紛紛用起了 HTTPS?”之下，知乎用戶何明科用通俗的語(yǔ)言解釋了 http 與 https 的區(qū)別，也道出了互聯(lián)網(wǎng)公司的無(wú)奈。

　　互聯(lián)網(wǎng)公司好比淘寶商家，運(yùn)營(yíng)商好比快遞公司，用戶好比需要剁手的買家。而且快遞公司還是壟斷的，全國(guó)沒(méi)幾家可以選擇。以前用http協(xié)議的時(shí)候，等于互聯(lián)網(wǎng)公司給用戶寄貨，但隨便選個(gè)包裝然后讓運(yùn)營(yíng)商配送給用戶。運(yùn)營(yíng)商公司為了自己的利益，把包裝拆開(kāi)，在里面塞滿了各種廣告。甚至有可能，用戶就買本書，結(jié)果包裝里被運(yùn)營(yíng)商塞了整整一箱傳單或者小卡片送了過(guò)去。甚至可能是下面的這種卡片。

　　現(xiàn)在開(kāi)始使用https協(xié)議了，互聯(lián)網(wǎng)公司給用戶寄貨，不過(guò)這次選了一個(gè)保險(xiǎn)箱給與用戶寄貨，開(kāi)箱密碼通過(guò)另外的渠道告訴用戶，然后讓運(yùn)營(yíng)商給用戶配送過(guò)去。雖然這樣成本高了很多，但是終于安全了。

　　幾名來(lái)自一線互聯(lián)網(wǎng)公司的技術(shù)人員，對(duì)此有著類似的看法：運(yùn)營(yíng)商耍流氓行為越來(lái)越嚴(yán)重，是國(guó)內(nèi)各大網(wǎng)站紛紛全面轉(zhuǎn)向 https 技術(shù)的最大推動(dòng)力。這項(xiàng)為保護(hù)網(wǎng)站數(shù)據(jù)安全而生的技術(shù)，成為中國(guó)互聯(lián)網(wǎng)公司對(duì)運(yùn)營(yíng)商威脅網(wǎng)站安全和自身利益的反擊。與此同時(shí)，技術(shù)的成熟和技術(shù)實(shí)現(xiàn)成本的降低，也在客觀上促進(jìn)了全站 https 技術(shù)的普及。

　　就這樣，運(yùn)營(yíng)商干了件好事，促使更多大中型互聯(lián)網(wǎng)公司下決心改造網(wǎng)站架構(gòu)，修建早就該動(dòng)工的防御工事，抵御心懷不軌的流氓運(yùn)營(yíng)商，也抵御未來(lái)可能出現(xiàn)的非法入侵者。

　　最后告訴大家一個(gè)秘密，據(jù)說(shuō)在手機(jī)上使用流量上網(wǎng)的時(shí)候，搜索一下“被運(yùn)營(yíng)商劫持了怎么辦”，即可免除運(yùn)營(yíng)商強(qiáng)插廣告，不少網(wǎng)友表示確實(shí)有效。原因呢?或許是因?yàn)榱夹纳写娴囊恍┑胤竭\(yùn)營(yíng)商，故意留下了這個(gè) bug 吧。