產品經理懂點技術:什麼是https,與http有什麼區別

2021-01-11 人人都是產品經理

每天都在上網,你有留意到網址有什麼區別嗎?本文主要圍繞https和與http的異同點進行分析了探究,與大家分享。

某天,產品汪突然發現,自家的產品在電腦瀏覽器上打開、在微信瀏覽器裡面打開,都被提示「不安全」!這樣用戶看到該有多困擾啊。

Google Chrome對不安全網址的提示:

微信打開不安全網址時的提示「防欺詐盜號,請勿支付或輸入qq密碼」:

小汪就納悶了,我們什麼都沒做啊,咋就不安全了呢?經過一番研究,原來是自家產品的網址,都是http開頭的,而不是https開頭的,與程序猿哥哥溝通一番後,全部連結換成了https,就再也不會有這樣的提示了。

什麼是http?

要搞清什麼是https前,首先要了解什麼是http。

HTTP協議(HyperText Transfer Protocol,超文本傳輸協議)是網際網路上應用最為廣泛的一種網絡傳輸協議,所有的WWW(全球資訊網)文件都必須遵守這個標準。我們常見我網站、手機上的H5、甚至後臺伺服器端很多的接口,都是採用HTTP協議實現。

所以我們需要上百度,就在瀏覽器中輸入http://www.baidu.com,就可以訪問百度的網站了。當然,一般的瀏覽器如果你沒有輸入http://,也會幫你自動補全這一部分的。

以谷歌瀏覽器為例,輸入訪問 sports.sina.com.cn/nba/ 並訪問新浪體育的NBA頻道,然後點一下地址欄,複製一下網址。隨便找個地方粘貼一遍:http://sports.sina.com.cn/nba/,就能發現前面已經帶上了http://協議的標誌。

http的傳輸,具有簡單、靈活的特點,但缺點是使用明文傳輸,請求和響應不會對通信方進行確認、無法保護數據的完整性,傳輸內容容易被竊取。

什麼是https?為什麼要用https

HTTPS (全稱:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全為目標的 HTTP 通道,在HTTP的基礎上通過傳輸加密和身份認證保證了傳輸過程的安全性。

網頁內容採用https傳輸後,用戶端和伺服器端將利用「非對稱加密算法」交換秘鑰。伺服器,也就是上圖中的小紅,先會生成一個公鑰、一個秘鑰。然後用證書封裝公鑰之後,把證書交給用戶,也就是上圖中的小明。

什麼是證書?

CA證書,是指由證書頒發機構(CA, Certificate Authority)即頒發數字證書的機構,頒布給對應公司用的數字證書。CA是負責發放和管理數字證書的權威機構,並作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。一般來說,證書業務都是要收費的。

世界上很有多家證書頒發機構,程序猿哥哥們也可以生成自己的證書,但是很多證書是「不受信任的」,我們使用的微信、Google Chrome瀏覽器、iPhone的iOS系統等,都只選擇信任那些具備公信力的證書頒發機構頒發的證書。

證書頒發機構就像我們用的四通一達快遞一樣,大家選擇他們就是因為覺得信得過,快遞被掉包的可能性低。而那些小公司、或自行頒發的證書,就像一家沒聽說過的快遞公司一樣,大家去選擇他們收發快遞時,也不是不能用,但是碰上快遞被盜的概率就可能上升。

用戶在獲得伺服器給的證書後,覺得這個證書值得信任,就打開它獲得裡面的公鑰,與此同時,用戶端會生成一串隨機的字符串,然後用伺服器的公鑰對字符串進行加密,把加密完的內容發給服務費。

伺服器在獲得用戶發送的密文後,用私鑰解密,就獲得了用戶端的密碼。這個過程就叫做非對稱加密。

伺服器知道了用戶的密碼後,雙方傳輸數據前,都先用用戶生成的那個密碼對數據進行加密,然後再傳輸給對方,然後對方用這個密碼進行解密。加密解密都用同一個秘鑰的時候,這個過程就叫做對稱加密。

https的傳輸過程就是如此,先用非對稱加密傳輸讓雙方獲得一個對稱加密的秘鑰,然後雙方再用這個對稱秘鑰進行數據的傳輸加密,這樣能兼顧安全和快速。由於採用了密文傳輸,這時候第三方就不能竊聽用戶和伺服器之間傳輸的內容了,這時候網站的安全性就獲得了提高。

可是這時候,小汪又想起另外一個問題,平常出了bug,程序猿哥哥們總是在說抓包抓包的,要抓包看看到底傳了什麼導致出錯的,我們網站用了https協議後,數據就被加密了,那傳了什麼就不知道啦,那以後遇到bug怎麼辦呢?然後程式設計師哥哥會心一笑說:其實並沒有什麼,https也是可以抓包的,只需要安裝一個證書就可以了。

對https抓包的原理

前文提到了,伺服器在把公鑰發送給用戶時,使用了一個證書來封裝公鑰,就像我們把東西寄給別人時,先用快遞袋裝好,再寄出去。如果我們選擇了一家不可靠的快遞公司,快遞員偷偷把快遞袋拆了,把裡面的東西換了(也可能只是拆開看看裡面都有啥),重新打包,再把快遞繼續送給對方,這就實現了https的抓包過程。

程序猿哥哥說的「裝一個證書」,其實就是信任抓包軟體的第三方證書,然後這個「黑心的快遞員」,就會作為一個不老實的中間人,竊取了用戶端生成的對稱秘鑰,然後不斷的記錄下用戶與伺服器之間傳輸的密文,並且用竊取到的秘鑰進行解密,這樣就知道了雙方之間傳輸的內容了。

小汪這時候恍然大悟,難怪網絡上經常說,電腦和手機上不要亂裝軟體,網站雖然用了https加密傳輸的內容,但是如果自己手機上裝了一個類似抓包軟體的病毒軟體,這時候就相當於把自己的帳號密碼、聊天內容都拱手送了出去呀!

本文由 @iCheer 原創發布於人人都是產品經理,未經作者許可,禁止轉載。

題圖來自Unsplash,基於CC0協議。

相關焦點

  • 產品經理是否需要懂資料庫
    產品經理是否需要懂資料庫?如果需要,那麼可以通過哪些途徑學習?需要懂到什麼程度?產品經理確實應該懂些資料庫的知識。通過資料庫初步學習,能了解數據的存儲方式以及數據的獲取,便於與技術的溝通;絕大部分需求,從技術上實現上並不難,很多需求往往都是沒有存儲相關欄位數據,造成無法實現;在絕大部分創業公司,數據平臺開發不完善或壓根沒有,再加上項目比較多,開發可能沒太多時間給咱們拉數據,或者在急著要數據但是開發又騰不出時間來的時候,如果自己會進行資料庫查詢操作,真的會方便很多
  • HTTP和HTTPS是什麼?
    兩者分別是什麼,有什麼區別呢?HTTP協議HTTP協議也就是超文本傳輸協議,是一種使用明文數據傳輸的網絡協議。這就是HTTP和HTTPS的最大區別。 HTTPS協議是由SSL/TLS+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,要比http協議安全,很多大型網際網路網站,如百度、淘寶、騰訊很早就已經把HTTP換成HTTPS了。
  • 產品經理,你真的懂熱圖嗎?
    產品經理經常使用各式圖表來提取或者表達信息 ,其中熱圖是常見的一種;尤其是在站點管理、界面優化、互動設計等場合,熱圖更是被產品經理們廣泛應用。然而產品經理,你真的懂熱圖嗎?熱圖有哪些類型?背後的原理又是什麼?產品經理該如何用好熱圖呢….. 今天,我們就來一探究竟。熱圖這麼多,產品經理該選哪一種?
  • 產品經理與用戶的關係,是我懂你
    、起點學院主辦的 2019產品經理大會·上海站 會議中,騰訊用戶研究與體驗設計部總經理陳妍進行了題為 「懂用戶——騰訊產品的基本態度和技能」 的精彩分享。一、產品經理應具備的態度騰訊學院的榮譽院長張志東先生說:「騰訊的產品經理需要有兩個態度,一是對用戶要有所敬畏,二是做產品要克制。」1.好產品要讓用戶感受到愉悅,給團隊帶來自然的興奮對於產品,你做得好就會做得開心,就會願意投入更多的精力。
  • OPPO的工程師與產品經理到底經歷了些什麼?
    OPPO的工程師與產品經理到底經歷了些什麼? 那麼在這13個月裡,OPPO的工程師與產品經理到底經歷了些什麼? 一、「看到ID方案後很震驚」 這是Find X結構工程師看到設計稿後內心OS,他在這一行做了很多年,沒想到手機還能這麼做? 對於經驗豐富的OPPO結構工程師來說,Find X的結構設計理念可以說是「無人區」。
  • 大公司和創業公司的產品經理,有什麼不同?
    本文是作者就產品經理這個話題,對大公司和創業公司的一些思考和梳理,希望對大家有幫助。昨天,有一個產品小夥伴微信私聊我,諮詢這樣一個問題:在大公司和創業公司做產品經理,有什麼不同?處於」功能設計和迭代推進的豎向分層」,從創業公司到大公司,你要做出的改變:前期,多跟其他產品經理溝通,了解其他部門的資源配置、做事風格和合作注意點,放棄搞個大功能、大新聞的想法,逐步的從一些小需求迭代開始,跟其他部門逐步的建立起配合經驗;在有了共同合作經歷和基礎後,嘗試有限度的發揮出你的單兵作戰能力,彌補前期在資源支持獲取上的新員工必然劣勢。
  • 「產品經理」和「功能經理」的區別_詳細解讀_最新資訊_熱點事件...
    產品經理最基本的職責就是懂需求。 看上去好像很簡單,實際上,很多產品經理都做不到這一點。 舉一個例子,就拿紅包這個簡單的功能來講,產品經理如何滿足用戶需求呢? 為什麼會這樣? 但是作為產品經理,要明白兩個重要的道理: 1、產品經理,是要永遠和用戶站在一起的。只要做對用戶最有利的產品,最終一定會得到用戶的回報 2、用戶需求不等於功能,不能把功能當做需求 把功能當需求有一個嚴重的後果——就是眼裡只看得到功能。但實際上, 用戶的需求遠遠不止於功能。
  • 從職位定義入手,認識「產品經理」的本質
    擔任產品經理職位前,先去了解產品經理是什麼、職能要求又是什麼非常重要。明確好這些,我們在工作與職業發展上才能有一個明確定位與規劃。產品經理的出現,是為了避免人性中「投入越多越喜愛」的特點影響產品發展,並且讓產品能更好滿足用戶需求。程式是工程師寫的,設計稿是設計師畫的,那產品經理是做什麼的?
  • 墨盒和硒鼓有什麼區別:列印原理與應用
    墨盒應用在噴墨列印上,而硒鼓則用在雷射列印產品上,這是兩者的本質區別。但作為用戶,我們只是想得到一份列印好的文檔,那就要看具體的需求了。墨盒和硒鼓有什麼區別:墨盒印表機墨盒印表機都是噴墨印表機。噴墨列印的技術原理上,是把墨水通過微小的列印頭噴嘴噴到紙面上,印表機的列印頭有幾百個到幾千、上萬個不等的噴嘴,噴嘴雖然每次噴的墨點很小,單噴的速度很快,靠無數小的墨點聚集成圖像、文字。
  • AI產品經理的必修課:系統化思維
    2、產品經理一定要具備的能力:將一件事精確定義到可以復現的地步知道和學會是有區別的。這樣的活動遠遠超過用戶預期,再通過每個月僅抽出10個人減少貨源,把饑渴點放大。最後通過月話費過百才可以抽,並分享給朋友的病毒營銷方式,將這個活動釋放出去。產品經理要養成一個習慣,精確定義身邊的所有問題,一些現象到底是什麼?哪怕友情,溝通,都可以定義。定義的標準就是可以在任何一個場景可以復現。
  • dedecms添加百度地圖api可動態放縮,支持http和https的方法
    其實不論是dedecms還是其他任何網站系統,實現的方法基本相同,重點是要有一個獲得坐標的動態選項框就行。一、百度開放平臺註冊打開百度地圖開放平臺lbsyun.baidu.com(也可以百度搜索「百度地圖api」),如有百度帳號直接登錄即可,沒有的話註冊一個,然後點「控制臺」進入個人中心,去實名認證,因為只有實名認證的開發者才能獲得創建應用獲得密鑰的權限。
  • 音頻行業數據產品經理的點、線、面思考
    編輯導語:在職場中,產品經理扮演者紐帶的職責,對於業務、團隊等都有著很大的作用;產品經理在企業中的定位也要清楚,是如何進行相互的賦能等;本文作者分享了關於音頻行業數據產品經理的點、線、面思考,我們一起來看一下。
  • 一圖讓產品經理秒懂市場營銷的本質
    二、市場營銷的核心問題是什麼?經常聽到我們的產品經理或企業管理者反饋:我們的高端產品沒有品牌優勢,低端產品沒有價格優勢。這是銷售(Sales)還是營銷(Marketing)的問題?我們時常把銷售與營銷混為一談,TOC瓶頸理論創始人高德拉特博士對這兩者的區別有一段精彩的描述:也許我們應該用一些更有力的詞語來描述什麼是市場營銷,什麼是銷售,以及它們之間的區別。我認為營銷就是在地上撒穀粒,讓鴨子進來坐;銷售是拿槍射殺一隻靜坐不動的鴨子。
  • 產品調研究竟有什麼用?
    編輯導語:產品調研,這對產品經理來說,是最熟悉不過的工作內容了,作為產品經理一定要學會做產品調研。本篇文章中,作者為我們分析了為什麼要做產品調研,指出了功能調研和產品調研到底有什麼區別,並且總結了產品調研應該怎麼去做。「堅持長期有效的調研,是提升產品感的有效方式,避免臨時抱佛腳的窘境。」
  • 入門公開課 | 產品經理的宏觀能力、中觀套路、微觀體感是什麼? |...
    但據我們觀察,80%的人在入門產品的時候沒有清晰的學習規劃,往往都是學到哪算哪,撿到啥學啥。如果你明白產品經理的能力分為三個層級:宏觀能力、中觀套路、微觀體感,那麼你入門時的方向感和規劃性就會強許多。1.什麼是宏觀能力?假設你是二零一幾年的程維,你如何帶領滴滴走向出行領域的獨角獸?
  • 產品市場調研分析報告、競品分析報告、產品體驗報告的區別
    enjoy~平時我們經常提到產品市場調研或產品市場分析報告,競品分析報告。但這兩者具體有何分別,各有什麼作用,各有哪些重要元素。做為一個野路子產品經理&創業者,以前一直沒有重視這塊,我汗顏。調研的目的是什麼?報告給誰看?我再加入兩個不得不談的相關報告,產品體驗報告、行業市場競報。
  • 貼吧之父俞軍:產品經理的選拔與成長
    那麼,最合理的標準需要考慮公司內部業務和人才的現狀、未來發展預期,來決定公司未來一段時間應該側重激勵什麼。比如側重短期績效,則人人爭先,短期內公司會有較強的戰鬥力;如果注重潛力,優先選拔高潛年輕人,則對公司的長期競爭力有利;如果注重專業能力,則公司的產品質量或技術含量會領先;如果注重協調溝通和文化價值觀,則公司的組織能力和大規模作戰能力會有優勢。
  • 【開講啦】產品經理和程式設計師的那些「恩怨情仇」(附PPT下載)
    第一點,產品經理不尊重技術規則,程式設計師不尊重產品經理的創作用心這方面可以總結的例子很多,舉一個極端的例子:程式設計師調了一天的bug,產品經理過來看了看,直接就說一句:「今天什麼都沒改嘛」,甚至有的產品經理就可能說出這個程式設計師「很懶」的話來。
  • 頂尖技術團隊是如何定義「產品經理」的?
    神譯局是36氪旗下編譯團隊,關注科技、商業、職場、生活等領域,重點介紹國外的新技術、新觀點、新風向。 編者按:產品經理這個職位最近很火。但產品經理是幹什麼的?需要承擔哪些責任?要具備什麼樣的技能?對於這些問題似乎缺乏統一的意見。
  • 什麼原因導致晶片產品研發人才過剩?
    晶片產品的聚焦競爭,讓大多數晶片研發人才只是個陪跑,看著有能力技術突破的研發人才把產品做出來,能做的是學習和鼓掌,抑或是茫然和失落。因為下一代晶片產品對技術要求更高,技術挑戰更大,還是那些能力更強的研發人才去做。 短期內,國內晶片研發人才過剩的現象不會根本改變,因為國內晶片公司很難去追求差異化。原因可以從下面兩個疑問中找到答案。 一、什麼是國內晶片公司的差異化?