Вопрос в контексте недавнего объявления Google о том, что вскоре он добавит «небезопасное» предупреждение всем веб-сайтам HTTP. Мой веб-сайт HTTP и не намного больше, чем просто « Hello, World! » Веб-сайт.
У него нет форм для пользовательского ввода. Он не получает никакого контента из других источников и не имеет внешних ссылок. Так как это может быть небезопасно?
Это небезопасно, потому что люди, использующие открытые сети Wi-Fi, выставляют свои HTTP-запросы GET широкой публике. Любой, кто находится в одной и той же открытой сети Wi-Fi, может видеть, какие подстраницы вашего сайта читают люди. Это может быть не та информация, которую они хотят раскрыть широкой публике.
Напротив, веб-сайт HTTPS предоставляет только DNS-запрос для доменного имени. Люди не могут видеть, какие подстраницы вашего сайта читают другие люди.
В дополнение к пассивной атаке, которая позволяет (плохим) людям узнать, что читают ваши пользователи, HTTP позволяет активную атаку, когда кто-то перехватывает или перенаправляет трафик и изменяет его.
Например, предположим, что у вас есть друзья, которые доверяют вашему суждению о еде, а владелец Joe's Diner настраивает фальшивый сервер, чтобы, когда кто-то запрашивает страницу с вашего сайта вместо «Hello World», которую вы на самом деле написали, он вместо этого видит «Joe's Diner действительно отличный, я лично проверил это, и вы должны есть там каждый день!». На самом деле Джо - жулик, и его еда загрязнена, поэтому ваши друзья заболели и умерли. Когда их семьи смотрят на кеш браузера и видят, как советы с вашего сайта убивают их близких, они могут быть недовольны вами.
Это достаточно безопасно для "вас". Но для кого-то доступ к нему может быть небезопасным.
Это актуально, так как популярный сервис в настоящее время обслуживает изображения подписчиков, использующих http. Когда другие подписчики "смахивают" эти изображения, они раскрывают информацию о своих "предпочтениях", так как изображения могут видеть все, кто отслеживает трафик.
Если вы просто проводите погоду, это может не иметь значения. Любой, кто вводит учетные данные, должен быть обеспокоен, и даже с https или RDP внутри VPN они не обязательно защищены от суверенных агентств, таких как NSA.
Вход в учетную запись Google также не принесет им никакой пользы.
Но этот ярлык не означает, что ваш сайт является вредоносным или представляет угрозу, хотя внушающий доверие человек может заставить себя поверить в это.
