刚才看了下https与http的区别,说前者通过加密来增加数据传输的安全性。如果传输的数据已经被第三方获取了,就像装钱的保险箱已经被带到第三者家里,这时任何加密手段的意义都被极小化。现在的情况是使用一个域名还需要额外花钱去找托管者,就算免费提供SSL服务,也使域名产生了对第三方的需求,刚才说了,问题就出在数据到了第三方。
为了实现域名数据安全,应该从物理方面来保证数据传输的密封性,如果数据不会到达第三方则它是安全的,否则就要去讨论什么枚举、暴力破解、位数、赎金之问题,刚才说到了保护费,这个应该便宜点;其实这里存在一个隐藏的问题,就是中转站的善、恶性,如果它有盗取行为,则收保护费的好大哥也无法阻止它,因为它先行动,如果它是善良的,则可以保证数据传输的密封性,除非服务器的管理者不是你这边的人,如果是这样,别忘了,他接收到的应该是未加密的数据,保护费无法作用到这一点。
在数据可能被第三方获取的情况下,如果加密方与服务器端没有预设加密方法,则无法实现有效的数据加密,因为被获取的数据应该是完整的;如果有预设加密方法,则可以保证在加密方与服务器端之间的数据安全,但是至少有一个中转站在加密方之前获得数据,否则就无法传输数据,由于客户端的地址是不确定的,所以这样加密是没有意义的,因为它预防的盗贼可能在它之前出现,如果https可以使用一种方法来加密传输数据,则http同样可以,所以https在这方面不会产生有效的作用。
综合这些描述可以得出结论,https无法为数据加密作出任何贡献,还增加了域名主人的费用和依赖、用户的流量,降低了传输的效率,使开发者无法确定域名头字段而增加麻烦,容易误导人来诽谤http域名是不安全的,它使域名固定性的增加了第三方获取数据者,这样是增加了不安全性,所以它才是不安全的。
想要防止能获取到数据的第三方容易的获得用户的标准密码,可以使用固定性和难以逆向破解的加密技术来储存密码,例如MD5。
技术的安全性不由生物担保,https是一个由人担保之技术。证书是一种记录,不是一种状态。