即使網站不含敏感通訊內容,也請務必使用 HTTPS 來保護所有網站。除了為網站和使用者個人資訊提供重要的安全性與資料完整性外,許多新的瀏覽器功能也都必須採用 HTTPS,尤其是漸進式網頁應用程式所需的功能。
HTTPS 可保護網站的完整性
HTTPS 可協助防範入侵者竄改網站和使用者瀏覽器之間的通訊。入侵者包括蓄意惡意的攻擊者和合法但侵入性的公司,例如將廣告插入網頁的 ISP。
入侵者會利用未受保護的通訊方式,誘騙使用者提供機密資訊或安裝惡意軟體,或插入自己的資源。舉例來說,部分第三方插入的廣告可能會破壞使用者體驗並產生安全漏洞。
入侵者會入侵您的網站與使用者之間傳輸的所有未受保護的資源。圖片、Cookie、指令碼和 HTML 都可以被利用。這些入侵都可能發生在網路中的任何時間點,包括使用者的電腦、Wi-Fi 無線基地台或遭到入侵的網際網路服務供應商 (ISP)。HTTPS 讓入侵者更難存取你的網站資源。
HTTPS 可保護使用者隱私與安全
HTTPS 可防止入侵者被動監聽網站和使用者之間的通訊。
關於 HTTPS 的常見誤解是,只有需要 HTTPS 的網站才能處理敏感通訊。事實上,每個未受保護的 HTTP 要求都可能會洩露使用者行為和身分的相關資訊。
單次造訪其中一個未保護網站似乎是良性,但有些入侵者會查看使用者的匯總瀏覽活動,藉此推斷其行為和意圖,並將訪客的身分去識別化。例如,員工可能只是閱讀未受保護的醫療文章,卻意外向雇主揭露敏感的健康狀況。
HTTPS 是網路的未來
您必須取得使用者的明確授權,才能使用強大的全新網路平台功能 (例如使用 getUserMedia() 拍照或錄製音訊)、透過服務工作站提供離線應用程式體驗,或建構漸進式網頁應用程式。許多舊版 API 也都會更新,需要執行權限才能執行,例如 Geolocation API。HTTPS 是新功能及更新功能權限工作流程的重要元件。