在日常办公中,很多人用浏览器提交表单、上传文件、登录系统,这些操作背后其实都是HTTP请求。你有没有想过,这些数据发出去之后,会不会被人看到?比如你在公司内网填了个报销单,内容会不会被同事截获?
HTTP请求就像明信片
可以把HTTP请求想象成寄一张明信片。你写好内容,贴上邮票,投进邮箱。但这张明信片是透明的,途中经过的每一个经手人都可能看到上面写了什么。如果这个请求是通过HTTP(不是HTTPS)发送的,那它的内容在网络上传输时就是裸着的。
举个例子,你在咖啡厅连了免费Wi-Fi,登录一个老系统的管理后台,账号密码以HTTP方式提交。这时候,只要有人在同一网络下使用抓包工具,比如Wireshark或Fiddler,就能直接看到你发送的用户名和密码。
抓包并不难
别说黑客,现在很多开发人员调试接口时都会用抓包工具。打开浏览器的开发者工具,Network标签页里就能看到所有发出的请求:URL、参数、请求头、甚至上传的文件内容。如果你在公共网络环境下操作敏感事务,别人装个工具,你的请求内容就一览无余。
比如你用手机上传一份合同扫描件到某个内部平台,如果这个平台没用HTTPS,而你又连着公司Wi-Fi,那么理论上,IT部门或者任何懂点技术的人都有可能捕获这个请求,看到你传了什么文件、叫什么名字,甚至内容本身。
HTTPS才是“密封信封”
现在大多数正规网站都用HTTPS了。它在HTTP基础上加了一层加密,相当于把明信片装进密封信封,只有收件人才能打开。即使有人截获了数据包,看到的也是一堆乱码。
你可以注意一下浏览器地址栏有没有小锁图标。有锁,说明连接是加密的;没锁,尤其是网址以http://开头的,就要小心了。很多企业内部系统为了省事,还在用HTTP,这种系统处理敏感信息时风险其实挺高的。
别以为内网就安全
有些同事觉得:“我在公司内网操作,又不对外,怕什么?” 其实内网也不绝对安全。局域网内的ARP欺骗、DNS劫持、代理监听等手段都能实现流量劫持。特别是当你接入公司网络时自动安装了某些监控证书(比如企业级防火墙或安全软件),你的HTTPS流量也可能被中间人解密查看。
这种情况在金融、审计类单位比较常见。表面上你在访问银行官网,实际上公司的安全网关会先解密你的流量,检查有没有异常,再重新加密发出去。从技术角度看,这确实意味着你的请求内容在公司层面是“可见”的。
自己也能试试看
想体验一下数据是怎么被“看到”的?可以自己动手。装个Fiddler,设置好代理,然后用手机连同一个Wi-Fi,浏览一些老网站。你会惊讶地发现,连搜索关键词、页面停留时间都能被记录下来。
当然,不是鼓励大家去窥探他人隐私,而是提醒你:你自己发出的数据,也可能正以同样方式被别人看到。
保护自己的办法
最简单的办法是:只在确认使用HTTPS的网站输入敏感信息。看到地址栏是https://,才放心填写账号密码或上传文件。另外,尽量避免在公共Wi-Fi下操作公司系统,必要时用公司提供的VPN,它通常会对整个通信过程加密。
如果你负责搭建内部系统,别图省事用HTTP。现在申请SSL证书几乎零成本,Let's Encrypt就能免费提供。一次配置,长期安心。