HTTP 與 HTTPS 的差別?別在網路上裸奔!|無厘頭軟工小教室
大家平常在網路上逛街、刷信用卡的時候,有沒有注意到網址列左上角那個「小鎖頭」?或者注意到有些網址是 http://,有些則是 https://?
別以為這只是工程師英文太差多打一個 S,這一個字母的差別,可是決定了你在網路上是優雅逛街,還是「全裸裸奔」!
為什麼說 HTTP 是在「裸奔」?
首先來聊聊 HTTP。它的全稱是 超文本傳輸協定(HyperText Transfer Protocol),聽起來很硬、很像教科書,但其實它就是網路上傳送資料的「交通規則」。
當你打開瀏覽器輸入一個網址,你的電腦就會用 HTTP 協定去跟網站的伺服器敲門說:「嘿!給我看內容。」然後伺服器再把網頁傳回來給你。
HTTP 的致命傷:明文傳輸
HTTP 最尷尬的地方在於它是「明文」傳輸。簡單來說,就是資料在傳送過程中完全沒有任何加密處理,大家說什麼就是什麼。
想像一下,用 HTTP 傳資料就像是在寄一張「沒封口的明信片」。你在上面寫了帳號密碼、甚至信用卡號,結果從你家寄到網站伺服器的路上,隨便一個駭客、路人、中繼站的郵差都可以偷看一眼🫣
這就是為什麼我們常說,在 HTTP 網站輸入個資,真的就跟在網路上裸奔一樣。因為資料在網路上傳輸時,會經過很多不同的「節點」,只要其中一站有壞人,你的訊息就被看光光啦!
HTTPS 登場!幫資料穿上防護衣
既然裸奔太危險,HTTPS 就出來救場了!那個 “S” 代表的就是 Secure(安全)。它在原本 HTTP 的基礎上,利用 SSL 或 TLS 的加密技術,幫資料穿上了一層厚厚的盔甲。
HTTPS 是怎麼保護你的?
當你用 HTTPS 連線時,資料在傳輸過程中會進行一次「大變身」。原本清晰可見的文字,會被攪碎成一堆誰也看不懂的亂碼。
如果說 HTTP 是明信片,那 HTTPS 就是「加了密碼鎖的保險箱」。就算駭客在半路攔截了你的保險箱,他手上沒有鑰匙也打不開,只能對著一堆鋼鐵乾瞪眼,完全不知道裡面裝了什麼。這就是所謂「有穿衣服在網路上奔跑」,安全感 Up Up!
冷知識:為什麼要「回家」才能脫衣服?
關於加密這件事,有個邏輯很有趣:要脫衣服(解密),請先回家!
為什麼資料在網路上跑的時候不能隨便打開?因為網路環境是「公共空間」,非常不安全。資料在跑的時候,必須全程鎖在保險箱裡(加密狀態)。只有當資料真的抵達了你的電腦,或者抵達了網站伺服器(目的地),雙方才會拿出專屬的密鑰來解碼。
畢竟你的私鑰都安穩地放在你的電腦裡,回家再解密、回家再脫衣服,這才符合安全邏輯嘛!如果資料在半路上就能脫衣服,那這層保護不就形同虛設了嗎?
既然 HTTPS 比較安全,為什麼還會有 HTTP 存在?
這是一個好問題!既然大家都怕裸奔,為何不乾脆全網 HTTPS?這背後其實有幾個原因:
- 歷史包袱: 很多很老的網站,在 HTTPS 還沒普及前就蓋好了,要更新可能需要一筆費用或技術調整,有些站長就懶處理了~
- 成本考量: 雖然現在有很多免費的工具(例如 Let’s Encrypt),但早期申請 SSL 憑證是要花錢的,對於一些純分享、不涉及個資的個人網站來說,當時可能覺得沒必要。
- 效能問題: 早期的電腦運算能力有限,加密和解密保險箱需要消耗電腦能量。不過以現在的硬體效能,這點損耗早就小到可以忽略不計了。
雖然如此,現在 Google 已經在極力推動 HTTPS,甚至會對沒有加密的網站給予「不安全」的警告,就是希望大家都能穿好衣服再出門XD
怎麼知道我現在安不安全?
雖然背後的技術很複雜,但判斷方法超簡單,我們只需要用肉眼看兩點:
- 看網址: 網址開頭是不是
https://? - 看鎖頭: 瀏覽器左上角(網址列旁邊)有沒有一個「小鎖頭」圖示?
有的話,恭喜你,目前穿得很整齊,可以放心狂奔XD
快速總結
| 項目 | HTTP (明信片) | HTTPS (密封信) |
| 安全性 | 0(大家都能看) | 極高(駭客看不懂) |
| 形象 | 明文(網路裸奔中) | 密文(穿著防彈衣跑步) |
| 必備工具 | 什麼都不用 | 需要 SSL / TLS 鎖頭 |
| Google 的愛(SEO 排名) | Google 會嫌棄 (被標示為「不安全」) | Google 比較愛 (有助於 SEO 排名) |
雖然網路世界很大、壞人很多,但只要學會看那個「小鎖頭」,你就已經成功守住自己的隱私第一線了!在這個充滿危機的數位時代,保護資料安全,就從「拒絕脫衣服」開始(誤。
下次在輸入密碼或刷卡前,記得先檢查一下:你現在是穿著防彈衣,還是在裸奔?
