前段时间,我曾提到百度支持移动端HTTPS SSL加密搜索,用以保护用户隐私。最近,百度开始支持PC端HTTPS SSL加密搜索,现在可以启用 https://www.baidu.com 搜索。我很少对百度有好感,但仍要实事求是地说:这是百度值得夸赞的一个举动。
不过,有墙外媒体说百度启用加密搜索“意义不大”,某活动人士甚至说:
“百度采用SSL搜索加密其实没有意义,几乎没有人有这样的需求,百度上也没有什么特别的信息——‘不良’或‘违法’的信息——可以搜索。”
这样的说法明显片面甚至带着有色眼镜。百度支持HTTPS与搜索“违法”信息是两码事,支持HTTPS是保护用户隐私,而不是提供未经审查的搜索。试想百度是天朝的正规公司,怎么可能违背“法律”推出像Google那样未经审查的内容呢?
那百度的HTTPS版本对普通搜索用户的隐私保护在哪里?先看几个例子。
- 有网友告诉我:之前公司一名女经理同事,就发现她经常百度搜索:“做爱射到里面会不会怀孕安全期怎么算”之类的信息。
- 用户在百度搜索一个关键词“人流”,很快就会有医院打电话过来推销人流手术广告。
- 几个月前我在移动端使用百度搜索过疾病症状,当天就有医院打电话过来拉单。然后在网上百度搜索了几次EMS,就有邮包诈骗电话打过来。
以上几个网友举出的真实例子,足以说明百度用户的网络隐私被侵犯了。在不使用HTTPS安全链接版本百度情况下,用户的网络隐私有可能在用户和百度服务器之间的网络中途被人截取(公司网管、ISP网络宽带提供商、黑客等),也有可能是百度公司出卖了用户的隐私。
如果不是百度出卖用户泄漏隐私,那么百度用户使用加密版搜索 https://www.baidu.com,就可以几乎100%避免以上几个隐私泄露的例子。
为什么这样说?在HTTPS通信协议下,用户和百度服务器之间的通信内容都进行了加密。打个比方,16岁的小明和15岁的小花早恋写情书,过去每封信都被父母偷偷查看,现在小明和小花采用暗语(HTTPS)加密通信,父母虽然知道两人之间有信件来往,却看不懂内容是什么,如此一来通信隐私就被保护了。
因此,上面提到的那位女经理现在如果用安全链接 https://www.baidu.com 搜索,公司的网络管理员就再也看不到她搜索的所有内容。搜索隐私信息本身没有问题,有问题的是偷看隐私的人,可是这样的事情很难靠道德和宽泛的法律来避免,强大的技术是一道有力保障。HTTPS保障不只是用户隐私,更是通信安全。
在网络安全和个人隐私越来越受到重视的今天,HTTPS SSL将会越来越流行,Google早就全面采用HTTPS加密搜索保护用户隐私,跟随者百度采用HTTPS应当值得肯定。百度作为墙内较大的互联网公司,有必要有责任保护其用户的网络隐私和安全。我估计百度在不久的将来可能完全支持索引收录HTTPS网站(2015年5月25日更新:百度发布公告称,从今天开始,百度放开对https站点的收录,https站点不需要再做任何额外的工作就可以被百度顺利抓收),Google早就支持了,这是趋势。
土木坛子早已全面采用HTTPS加密访问,除了你没有谁知道你浏览了本篇博文。
“百度HTTPS加密搜索有什么用?”上的51条回复
你举的例子不太恰当,应该是父母只知道小明每天向外发了些东西,具体发的是什么,发往哪里就不知道了(https传输过程中域名和内容都是加密的)
谢谢大牛指点,我已更新。
域名不是加密的,谢谢。要不Google的HTTPS就不会被墙了。
大牛们的解释让我们更清楚HTTPS的原理了……
http://zh.wikipedia.org/wiki/超文本传输安全协议
http://zh.wikipedia.org/wiki/防火长城
加密了不代表就无法阻断了,这也是SSL的缺陷之一
http://en.wikipedia.org/wiki/Server_Name_Indication
不是因为GFW够强,是因为域名的确会以明文形式来发。
GFW 能截断 HTTPS 连接是因为,建立 HTTPS 连接的第一步是请求 Google 发证书过来–发一个 HTTP 数据包到 Google 的 IP 地址【这是明文的】,里面写着 443 端口,方滨兴一看,封。
http://www.baidu.com/duty/safe_control.html 这里可以关闭 cookie,但是不知道真的有没有用…
我不知道这里有没有效,但是在这里设置是绝对有效的,额,居然不支持img标签,图片: https://i.imgur.com/EPUpyC6.png
WordPress的评论内容确实不支持图片。
用户的隐私不只是cookies这一项吧。
之前一直忽略了这方面。
另外,你的博文分享到微信朋友圈是使用插件?
人工把链接分享一下——所以有时候我会忘了这事。
平时只是习惯将浏览器设置为私密模式,看来作用应该不大。
私密模式也只是不留下痕迹而已,但上网过程中的通信内容还是能被第三方截取的。
我预计,这个关键字能给你带来不少流量
你开玩笑。搜索这些内容的人肯定都是用百度的,我在百度里被收录的内容是0。
PS. 你这么一说,我倒还真把“射到里面会不会怀孕”放到TAG里了……
哈哈, 用google 啊。。海外中国人不少呢。。。
好吧,为了让人真搜索“做爱射到里面会不会怀孕”来到我这里,我还是把答案告诉人家吧,做个搬运工:
安全期
安全期是指女性的一种生理周期,与月经有关。女性月经周期在26至35天都是正常情况,足足有10天左右的差隔,可见安全期未必如愿安全。而在香港,安全期一般被视为月经出现的之前7天至之后7天,因此俗称为前七后七。
安全期避孕原理
以月经周期28天为例,在第一次月经来临之后3至5天,可谓“经期”,干净后开始第一阶段的安全期。月经周期之间的两个安全期由排卵期隔开。排卵期几乎可以肯定是在下一次月经来临前的第14天,或者早5天,晚4天到来。这也是所谓的危险期。因为男性精子可以在女性体内存活3天,所以有必要将危险期在前述14天前的5天再提前3天以备不测,该天就是第一阶段安全期的结束日。第二阶段安全期开始是从前述14天后的4天那日,直到第二次月经来临日。可见第二阶段的安全期较第一阶段更安全。通常月经后12至22天便出现排卵,进入危险期。
所以,做爱射到里面会不会怀孕?得看是不是安全期。但是必须说明,安全期避孕法并不是100%可靠,因为女性的经期可能并不是那么准,从而算出来的安全期并不安全。
我怕我这回复一出,下面的评论就会歪楼,成为性知识普及博文评论……拭目以待。
拭目以待
这种问题就要用匿名模式就可以了,不一定需要HTTPS。
匿名模式我的理解是不会在浏览器中留下访问痕迹,但通信内容还是能被人截取的吧。
截取了也不知道是谁发了喽……
嗯嗯,让我想起了性教育课老师说的内容了……比林斯避孕法?
你博学,比林斯避孕法我都第一次听说过……看了一下,其实讲的是一回事:比林斯自然避孕法。
刚看到标题,吓我一跳,以为被黑了。后来一想,坛子的博客是有这个调调的。
哈哈,偶尔来一下吓人的标题,再说,本博也不是第一次这些内容了。而且,本文其实谈的不是这个~
不就是安全期嘛。。。 http://justyy.com/archives/729
没人知道我看了坛子的博客 这样我就放心了
那当然,HTTPS嘛。
不过,你的电脑要是有浏览记录,人家翻看你的电脑,那我就保证不了了~
电脑有自毁功能,你放心吧 哈哈
现在是大数据时代,已没隐私可言。特别是用了一些免费导航地图的,这东东收集你的行程和目的地,这才是最厉害的,它会推送你喜欢的地方,酒店,用品等。
没有免费的午餐……
看完这篇博客把书签栏中的百度搜索地址都改为了https的地址。
可以的,一劳永逸。
最后一句,我好喜欢。
你不也一样的嘛,全站HTTPS,高大上。
我想说的是,听说HTTPS并不加密访问的网址,即如果黑客愿意,虽然未必知道你们私下交流的内容。但他依旧能知道你访问这篇文章了。
你说的也有道理。好在我这里也没有那么高级别的内容,黑客不会感兴趣的。
咦,Adsense广告怎么不见了?我原本想看看Adsense会给这篇帖子匹配什么广告,是https还是避孕器具……
如此好奇。
你把广告过滤开着,是自然看不到广告的。
原来是这么愚蠢的错误……我平时不开过滤的,不知什么时候开了忘了关……
你要没有开广告过滤也看不到广告,那只能说明GOOGLE ADSENSE当机了,那你的运气也太好了。我还从来没有碰到过。
劲爆的标题换了?
看着不爽,有标题党的感觉,就换了。
忘了说了,即使启用了https,如果你在搜索结果中点击某个网页,并且那个网页是明文的(网址以 http:// 开头);那么,你点击的这个网页的内容,还是可能被别人看见。这一点对谷歌和百度都适用,解决办法就是使用google的网页快照(百度的快照不支持https),注意,使用完全版的快照仍然有可能暴露隐私,因为快照会加载原网页的JavaScript脚本、CSS 样式表,图片等,所以,为了完全的隐私,需要使用纯文字版快照(非常依赖css和js的网页会显示错乱)
谢谢你对我们进行HTTPS基础知识普及~
一般来说,有了HTTPS,我想大部分的隐私可以被保护的。至于NSA级别的渗透,我们估计也防不了,再说我们也没有那么有价值~
“百度使用 HTTPS 协议主要是为了保护用户隐私,防止流量劫持。”大型网站的 HTTPS 实践(一)—— HTTPS 协议和原理 | 百度运维部官方博客网站 http://op.baidu.com/2015/04/https-s01a01/
防止流量劫持,保护广告收入,是采用HTTPS的利益动机,认为百度采用HTTPS的目的是保护用户隐私,是错误的认知。百度是一家广告公司,收集用户信息是其业务,医院等商家就是他们的客户。由于法律监管空白,很多用户的真实信息就被记录、交易了。
大陆厂商通常只在登陆环节采用HTTPS,大部分比网页搜索隐私要求更高的服务也没有考虑采用HTTPS。
不论它出于什么动机,毕竟现在百度自身开启了HTTPS搜索,而且最近也支持收录HTTPS网站了。
百度的https可能只是个自利行为。一方面https无法进行链路上污染,不良运营商无法在网页中再插入其自己的广告,不会再有因运营商行为导致的百度使用体验下降。无法劫持百度与用户之间的数据流对百度非常有好处。至于用户,可能只是顺便获得了无法被监视百度搜索结果的好处而已。百度出来这么多年,还没有哪个产品是切实考虑过用户的,都是与其实际利益相关的。
的确,百度很少真为用户考虑,在国内,劫持太严重了,我上回回国就体验到了ISP的流氓。