2017年4月21日更新：因StartCom和WoSign接连曝出证书签发丑闻，Mozilla, Apple和Google已经决定撤销对这两家CA厂商的信任。Alex Sky网站也于2016年8月31日全部改为Let’s Encrypt CA。使用StartSSL的站长应该尽快转用其他CA。 TLS has exactly one performance problem: it is not used widely enough. Everything else can be optimized. ——摘自 istlsfastyet.com 好久没有写日志了，今天想聊聊网络安全，特别是Web安全。随着网络和移动技术的逐渐普及，越来越多的事情现在可以在网上进行。比如，我们在社交网站上发表各种各样的观点、喜好、地理位置，在购物网站上挑选物品，付费购买，在网上交电话费、水电费。个人信息与金钱交易充斥在网络的各个角落，而各种各样的网络攻击也随之而来。在各式各样的网络攻击中，有一类攻击因为门槛低、成功率高而呈现井喷态势，这就是会话劫持攻击。我曾在《WordPress建站心得（三）Web安全与隐私》一文中简单介绍这种攻击和防范，不过因为当时题目所限，没有进一步说明这种攻击对个人的影响。简单来说，会话劫持就是黑客将自己的电脑置于你与你所访问的网站中间，从而获得你与该网站的所有通讯内容，这个内容不仅包括你的cookie（也就是你和网站建立的临时信任关系），还甚至包括你登陆所使用的账户和密码。这是因为在传统的网络连接中，所有的内容都是明文传输的。所有你看到的网址开头为”http://”的网站（或未标注”https://”，如下图），你和它们的通讯都能被截获。这种攻击技术已经如此成熟，以至于完全没有技术支持的人，通过下载一些简单的软件，都能实现这种劫持。除了企业级WIFI和客户端隔离的内网环境外，所有其他网络环境都适合这种攻击。