即使網站不含敏感內容,也應一律使用 HTTPS 確保安全性。除了為網站和使用者的個人資訊提供重要安全性和資料完整性之外,許多新瀏覽器功能也需要使用 HTTPS,尤其是漸進式網頁應用程式。
HTTPS 可確保網站的健全性
HTTPS 可防止入侵者竄改網站與使用者瀏覽器之間的通訊。入侵者包括蓄意惡意攻擊的攻擊者,以及合法但侵入性的公司,例如在網頁中插入廣告的 ISP。
入侵者會利用未受保護的通訊內容,誘騙使用者提供機密資訊或安裝惡意軟體,或是插入自己的資源。舉例來說,某些第三方會插入廣告,導致使用者體驗不佳,並造成安全漏洞。
入侵者會利用網站與使用者之間的所有未受保護的資源。圖片、Cookie、指令碼和 HTML 皆可遭到濫用。網路中的任何位置都可能發生入侵事件,包括使用者的電腦、Wi-Fi 無線基地台或遭到入侵的 ISP 等等。透過 HTTPS,入侵者將更難存取網站資源。
HTTPS 可保護使用者的隱私權和安全
HTTPS 可防範入侵者被動監聽網站與使用者之間的通訊。
關於 HTTPS 的一個常見誤解是,只有處理敏感通訊的網站才需要 HTTPS。事實上,每個未受保護的 HTTP 要求都可能洩漏使用者行為和身分的相關資訊。
單次造訪未受保護的網站可能看似無害,但有些入侵者會查看使用者的匯總瀏覽活動,藉此推測使用者的行為和意圖,並去識別化他們的身份。舉例來說,員工只要閱讀未受保護的醫療文章,就可能不小心向雇主透露私密的健康狀況。
HTTPS 是網路的未來
使用 getUserMedia() 拍照或錄音、透過服務工作者提供離線應用程式體驗,或是建構漸進式網頁應用程式等功能強大的全新網頁平台功能,都需要透過 HTTPS 取得使用者的明確授權。許多舊版 API 也正在更新,以便執行時需要權限,例如 Geolocation API。無論是新功能還是更新功能,HTTPS 都是權限工作流程的重要元素。