為何各大網站啟用HTTPS?運營商做了“好事”

真的是好事，不加引號的好事。

你可能沒有注意到，用百度搜尋時，瀏覽器位址列裡的 http 已經成為永遠的過去時，接棒的是更安全的
https。這家中國最大的搜尋引擎，於2015年3月份做出了一個重要的決定——全站強制啟用 https 連線。此時距離 Google
做這件事，過去了1年半。

無獨有偶。同年10月14日，杭州雲棲大會上，阿里巴巴宣佈旗下電商平臺已實現全站
https。環球網的報導稱，“阿里巴巴已經成為全球首家支援全站HTTPS的電商公司。與之形成鮮明反差的是一些電商網站，如京東、亞馬遜等僅僅是在登入或交易頁面啟用了
https。對於使用者來說，這種處理方式更像是 隔靴搔癢 。”

細心的朋友可能會發現，2015年末2016年初這段時間，除了百度、阿里，像知乎這樣前沿的技術公司也開始轉向全站 https
連線——網址前增加了一個小鎖樣式的圖示。對於一般使用者來說，這把小鎖既熟悉又陌生：熟悉是因為在各大網站的登入和交易頁面經常見到，陌生是因為日常訪問的大部分網站並不會上鎖。

毫無疑問，上鎖是為了安全，上鎖是未來趨勢，上鎖的網站更受搜尋引擎待見。但是，萬萬沒想到，在國內網路環境中，對安全最大的威脅居然是來自讓網際網路公司敢怒不敢言的運營商。2015年12月25日，騰訊、小米、360、今日頭條、美團大眾點評網、微博六家公司釋出聯合宣告，共同呼籲打擊流量劫持問題。宣告中雖然只敢說“某些機構”劫持流量，但業內人士都知道“某些機構”是誰以及他們有多麼大膽地耍流氓。

幾乎每一個使用者都遇到過，用手機開啟的網頁被中國移動或聯通或電信，強行插入業務訂購選單或非法彈窗廣告，哪怕是在微信裡開啟的頁面也在劫難逃。這些莫名其妙的選單和彈窗廣告，不僅嚴重影響了使用者正常的瀏覽體驗，而且讓使用者感到困惑，擔心自己的隱私被正在訪問的網站洩露。並不是所有人都知道，實際上這些內容是運營商公然在別人的網站裡注入自己的程式碼才實現的。

業內人士在網路上抱怨，“2015年下半年開始，運營商劫持流量已經到了駭人聽聞的地步，難以相信某家全國知名網站的百分之多少流量被劫持，難以相信超過50%的使用者投訴電話是因為運營商乾的好事。”恐怕更難以置信的是，某運營商將這項業務命名為
ipush 推送廣告，明目張膽地招商，吸引廣告主。

在知乎問題“為什麼 2015 年底各大網站都紛紛用起了 HTTPS？”之下，知乎使用者何明科用通俗的語言解釋了 http 與 https 的區別，也道出了網際網路公司的無奈。

網際網路公司好比淘寶商家，運營商好比快遞公司，使用者好比需要剁手的買家。而且快遞公司還是壟斷的，全國沒幾家可以選擇。以前用http協議的時候，等於網際網路公司給使用者寄貨，但隨便選個包裝然後讓運營商配送給使用者。運營商公司為了自己的利益，把包裝拆開，在裡面塞滿了各種廣告。甚至有可能，使用者就買本書，結果包裝裡被運營商塞了整整一箱傳單或者小卡片送了過去。甚至可能是下面的這種卡片。

現在開始使用https協議了，網際網路公司給使用者寄貨，不過這次選了一個保險箱給與使用者寄貨，開箱密碼通過另外的渠道告訴使用者，然後讓運營商給使用者配送過去。雖然這樣成本高了很多，但是終於安全了。

幾名來自一線網際網路公司的技術人員，對此有著類似的看法：運營商耍流氓行為越來越嚴重，是國內各大網站紛紛全面轉向 https
技術的最大推動力。這項為保護網站資料安全而生的技術，成為中國網際網路公司對運營商威脅網站安全和自身利益的反擊。與此同時，技術的成熟和技術實現成本的降低，也在客觀上促進了全站
https 技術的普及。

就這樣，運營商幹了件好事，促使更多大中型網際網路公司下決心改造網站架構，修建早就該動工的防禦工事，抵禦心懷不軌的流氓運營商，也抵禦未來可能出現的非法入侵者。

最後告訴大家一個祕密，據說在手機上使用流量上網的時候，搜尋一下“被運營商劫持了怎麼辦”，即可免除運營商強插廣告，不少網友表示確實有效。原因呢？或許是因為良心尚存的一些地方運營商，故意留下了這個 bug 吧。

本文轉自d1net（轉載）