即使網站不含敏感內容,仍應使用 HTTPS 確保網站的安全性。除了為網站和使用者個人資訊提供重要的安全性和資料完整性,許多新的瀏覽器功能也必須使用 HTTPS,尤其是漸進式網頁應用程式所需的功能。
HTTPS 可確保網站的健全性
HTTPS 可防止入侵者竄改網站與使用者瀏覽器之間的通訊內容。入侵者包括蓄意惡意攻擊者,以及正當但侵入性高的公司,例如在網頁中插入廣告的網際網路服務供應商。
入侵者會利用未受保護的通訊內容,誘騙使用者提供機密資訊或安裝惡意軟體,或是插入自己的資源。舉例來說,部分第三方會插入廣告,導致使用者體驗不佳,並產生安全漏洞。
入侵者會利用網站與使用者之間傳輸的每個未受保護資源。圖片、Cookie、指令碼和 HTML 都可能遭到利用。入侵行為可能發生在網路的任何位置,包括使用者電腦、Wi-Fi 無線基地台或遭入侵的網際網路服務供應商 (ISP) 等。HTTPS 可防止入侵者輕易存取網站資源。
HTTPS 可保護使用者的隱私權和安全性
HTTPS 可防止入侵者被動監聽網站與使用者之間的通訊。
一般人對 HTTPS 的常見誤解是,只有處理敏感通訊的網站才需要 HTTPS。事實上,每個未受保護的 HTTP 要求都可能洩漏使用者行為和身分資訊。
單次造訪未受保護的網站看似無害,但有些入侵者會查看使用者的匯總瀏覽活動,推斷他們的行為和意圖,並去匿名化身分。舉例來說,員工可能只是閱讀未受保護的醫療文章,就不慎向雇主揭露私密的健康狀況。
HTTPS 是網路的未來趨勢
強大的全新網路平台功能 (例如使用 getUserMedia() 拍照或錄製音訊、透過服務工作人員啟用離線應用程式體驗,或是建構漸進式網頁應用程式),都需要透過 HTTPS 取得使用者的明確授權。許多舊版 API 也將更新,執行時需要權限,例如 Geolocation API。無論是新功能或更新功能,HTTPS 都是權限工作流程的關鍵元件。