请始终使用 HTTPS 保护您的所有网站,即使网站不处理敏感通信也应如此。除了为您的网站和用户的个人信息提供重要的安全保障和数据完整性支持外,许多新的浏览器功能(尤其是渐进式 Web 应用所需的功能)也要求使用 HTTPS。
HTTPS 可保护您网站的完整性
HTTPS 有助于防止入侵者篡改您的网站与用户浏览器之间的通信。入侵者包括故意进行恶意攻击的攻击者,以及合法但侵扰性的公司,例如向网页中注入广告的 ISP。
入侵者会利用未保护的通信来诱骗您的用户提供敏感信息或安装恶意软件,或者插入自己的资源。例如,某些第三方会注入广告,这可能会破坏用户体验并造成安全漏洞。
入侵者会利用在您的网站和用户之间传输的所有未保护资源。图片、Cookie、脚本和 HTML 都可能被利用。入侵可能发生在网络中的任何位置,包括用户的机器、Wi-Fi 热点或遭到入侵的 ISP,等等。HTTPS 会增加入侵者访问您网站资源的难度。
HTTPS 可保护用户的隐私和安全
HTTPS 可防止入侵者被动地监听您的网站与用户之间的通信。
关于 HTTPS 的一个常见误解是,只有处理敏感通信的网站才需要使用 HTTPS。事实上,每个未保护的 HTTP 请求都可能会泄露有关用户行为和身份的信息。
一次访问您未保护的网站可能看起来没什么坏意,但有些入侵者会查看用户的汇总浏览活动,以推断用户的行为和意图,并取消匿名化用户的身份。例如,员工只需阅读未经保护的医学文章,就可能会无意中向其雇主披露敏感的健康问题。
HTTPS 是网络的未来
强大的新型 Web 平台功能(例如使用 getUserMedia() 拍照或录制音频、通过服务工件实现离线应用体验,或构建渐进式 Web 应用)需要通过 HTTPS 从用户那里获得明确的权限。许多旧版 API 也正在更新,以要求获得执行权限,例如 Geolocation API。对于新功能和更新后的功能,HTTPS 是权限工作流的关键组成部分。