平时打开网页,有时候地址栏是 http://,有时候是 https://。很多人觉得这不过是个字母“S”的差别,反正网页都能打开。可实际上,这个“S”关系到你的账号、密码、甚至银行卡信息是否被人偷看。
HTTP:明文通信的“裸奔”模式
HTTP(HyperText Transfer Protocol)是早期网页传输的基础协议。你可以把它想象成寄明信片——内容写在上面,谁经手谁都能看到。比如你在咖啡馆连公共Wi-Fi,登录一个只支持HTTP的网站,输入用户名密码,这些信息在网络上传输时就是明文的。如果有人在同一网络下搞点小动作,分分钟就能截获你的数据。
举个例子,你在一个老式论坛发帖,网址是 http://example.com/login,你提交的表单数据会像下面这样在网络中传输:
POST /login HTTP/1.1\nHost: example.com\nContent-Type: application/x-www-form-urlencoded\n\nusername=alice&password=123456看到没?密码直接暴露在数据里。这种情况下,别说黑客了,懂点网络基础的人都能抓包看到。
HTTPS:加了锁的“快递包裹”
HTTPS 其实就是在 HTTP 的基础上加了一层加密协议,通常是 TLS(或以前的 SSL)。那个“S”就是“Secure”,意思是安全。它的工作方式就像你寄一个上锁的快递盒,只有收件人有钥匙打开。
当你访问 https://example.com 时,浏览器首先会和服务器“握手”,协商出一套加密方式,然后所有传输的数据都会被加密。即使被人截获,看到的也是一堆乱码。
还是刚才的登录请求,用 HTTPS 后实际传输的内容看起来是这样的:
Encrypted Application Data: a1b2c3d4e5f6... (无法识别的密文)你填的密码再也不是明文,而是经过加密处理,中间人拿不到真实内容。
为什么现在几乎全是 HTTPS?
几年前,HTTPS 还多见于银行、电商等敏感场景。但现在,连个人博客、新闻站都默认上 HTTPS 了。原因很简单:谷歌浏览器会把非 HTTPS 网站标记为“不安全”,用户一进站就弹警告,谁还敢用?
而且 HTTPS 不只是防窃听,还能防篡改。比如你下载一个备份工具,如果是 HTTP,中间可能被插入广告甚至病毒;而 HTTPS 能确保你拿到的是服务器原原本本发出来的文件。
和压缩备份有什么关系?
你在“压缩备份”栏目里找工具或教程,很可能要下载脚本、配置文件或自动化程序。如果下载链接是 HTTP,那这个文件在传输过程中就可能被掉包。比如你本想下载一个数据库自动备份的 shell 脚本,结果被替换成删库的恶意代码,后果可想而知。
所以,无论是上传备份文件,还是下载恢复脚本,尽量选择 HTTPS 接口。现在很多云存储、网盘、CI/CD 工具也都强制启用 HTTPS,就是为了保证数据完整性。
下次你点开一个管理后台做定时备份,先瞄一眼地址栏是不是绿色的锁头图标。不是的话,建议赶紧换。