2018年第一季度,新浪邮箱所有产品线(免费邮箱、VIP邮箱、企业邮箱)全部支持了 HTTPS 协议,从而进一步增强网络通信的安全性,保障邮箱用户的隐私性。本文针对新浪企业邮箱产品线,以纯技术的视角全面介绍HTTPS协议的部署之路,并向邮箱用户介绍HTTPS协议的概念、优势。

HTTPS 协议到底解决了什么问题?

当企业邮箱用户在浏览器中输入 http://mail.sina.net,以 HTTP 协议访问新浪企业邮箱官网并登陆邮箱的时候,潜在存在安全风险,而且该风险是新浪企业邮箱无法解决和避免的,根本原因是网络协议在安全性方面天然存在弱点。

风险可大可小,有些是用户本地上网环境的问题,有些是用户能避免的,有些是企业邮箱服务提供者也无可奈何的,网络攻击一般分为主动攻击和被动攻击,分别列举一个例子,让邮箱用户对网络攻击有一定的了解。

很多用户在外面的时候,大概率会使用免费的 Wifi 访问企业邮箱,而非法的 Wifi 能够干很多坏事,因为用户所有的流量都会经过 Wifi 路由器,就像水管阀门一样,Wifi 路由器能够拦截所有的 HTTP 协议数据,而可怕的是,HTTP 协议是明文传输的,也就是攻击者肉眼就能获取你的密码,有了密码,就能以你的身份看查看重要邮件,或者以你的身份发送垃圾邮件。我们经常发现一个看起来很正常的邮箱用户突然发送垃圾邮件,大概率就是密码被盗了,被盗的原因很可能就是数据流量被截获了。

此类攻击叫做被动攻击,攻击方式五花八门,而可怕之处在于用户根本意识不到被动攻击的存在,攻击者可以在背后进行很多破坏,而用户一无所知。

接下去介绍主动攻击,所谓主动攻击就是用户意识到自己被攻击了,从而可以通过各种手段避免攻击。很多邮箱用户经常向我们投诉邮箱页面有莫名其妙的广告,比如下图,这种情况一般是 ISP 劫持了 js 脚本。