这种黑客手段，据说80%的人会上当

我们都曾注意到，电子邮件、网页或者是浏览器地址栏中显示的链接通常会有http和https两种开头，在有些情况下显示https的地址还会被浏览器标注为“连接是安全的”，那么我们可以完全信任网页提供的内容么？这要从http为什么会+s讲起。

▼ http？https？

http的中文名字是超文本传输协议，简单的说你所看到的一切互联网内容，绝大多数都使用这个协议传输文字、图片、视频等内容，这个协议和互联网上流行的其他协议一样已经有了很多年的历史，受制于发明时的现实情况http协议是一种明文传输的协议，也就是说当你访问http://网站的时候从你的电脑出发到目标网站的网络路径中，包括上网路由器和运营商网络中的所有的设备可以看到你访问的是什么网站，都做了些什么。

这就会带来一个风险，有心人只要在这条路径的中任何一个节点劫持你的访问流量，就可以窃听通信，甚至在通信中插入攻击代码。为了解决这个问题，超文本传输安全协议也就是https出现了，通过ssl加密来解决http协议的安全性问题。

当你使用https访问站点时，浏览器会首先和服务器确认身份，随后加密客户端和服务端之间的数据传输，然后才开始传输真正的内容，在正常情况下加密隧道成功建立后，你通过http协议访问了一张小猫的照片，再有人想窃听也只会看到一堆加密后的数据，既不能理解其含义也无法修改，所以https会被称为安全的连接，只要服务端具备客户端所信任的相应证书即可。

▼ 连接≠链接

在https的保护下，你可以放心的在网上传输一些敏感的内容了，比如网购和在线付款。不过，此处安全的连接可不是安全的链接。

连接是高速公路决定是否快速安全，而链接是导航决定目的地去哪里。

https://www.alipay.com/

和

https://www.al1pay.com/

有什么区别？毫无疑问al1pay.com并不是我们熟悉的支付工具，如果有人为al1pay申请了ssl证书，那https://www.al1pay.com/一样可以在浏览器中显示为安全的连接，因为https并不会改变http中传输的内容，同样的道理除了钓鱼网站，病毒木马、潜伏在网页中的攻击代码一样可以使用https链接，所以千万不要认为安全的连接就是可以绝对信任的。

▼ “一定是在吓唬人”

才不是呢，https已经接近于0使用门槛，任何域名都可能申请安全证书，根据网络反钓鱼公司PhishLabs的最新数据，2018年第三季度中有49%的网络钓鱼网站在浏览器上都显示了“安全锁”的标记，而在此前的调查中80%的受访者认为带有安全锁的网站就是安全合法的意思。

其实并没有关系。

在工控系统及其他敏感环境中的用户，绝对不要相信任何陌生链接，毕竟除了使用https的钓鱼链接，还有很多更奇怪，例如data:taxt/html，让人犯愁。