看到地址栏里是“http://”而不是“https://”,很多人的靠前反应是“这个网站不安全”。这个判断大方向没错,但具体到实际使用,需要分情况处理。比如你正在访问一个只展示信息的政府公告页面,它用http完全没问题;但如果你要在页面上填银行卡号、登录密码,哪怕它挂着https也不能掉以轻心。从用户最常遇到的几个场景出发,帮你理清什么时候该担心、什么时候不用慌。

靠前个场景:浏览器弹出了“不安全”红色警告。这时要看具体提示文字。Chrome、Edge等浏览器在访问http页面时,地址栏左侧会显示一个圆圈带感叹号的图标,点击会提示“此网站的连接不安全”。如果你是在输入网址时打错了,或者访问的是个人博客、资料存档站这类不收集敏感信息的页面,这个提示可以忽略。但如果你看到的是“您的连接不是私密连接”并伴有红色底色警告页,那说明网站证书有问题——可能是网站本身配置错误,也可能是有人试图劫持你的访问。这种情况下不要点击“继续前往网站”,直接关闭页面更稳妥。

http-网站还能用吗
http-网站还能用吗

第二个场景:需要在一个http网站上输入信息。比如登录某个老旧的论坛、填写问卷、提交联系方式。这时候你要做一个重要判断:这个信息一旦被截获会有什么后果。用户名和密码属于高敏感信息,即使网站是https,如果它用了过时的加密协议(比如TLS 1.0),同样有不确定因素。更实际的方法是查看页面是否使用了第三方支付通道——如果支付环节跳转到支付宝或微信的页面,且那个页面是https,那么你输入的银行卡信息实际是安全的。但如果你在http页面上直接填写信用卡号,请立刻停止操作。

第三个场景:如何手动判断一个http网站是不是安全的。除了看地址栏,还可以做两件事。一是点击浏览器地址栏左侧的图标,查看连接详细信息。浏览器会告诉你“此网站并未提供安全连接”或“证书已过期”。二是查看网页源代码里的资源加载情况。按下F12打开开发者工具,切换到“控制台”或“Console”标签页,如果看到“Mixed Content”警告,说明这个https页面里混用了http的外链图片或脚本,这类页面即便网址开头是https,实际安全性也会打折。反过来,一个http页面如果所有内容都来自同一个域名,没有加载外部资源,且属于信息展示类网站,不确定因素相对可控。

第四个场景:公共Wi-Fi下访问http网站的不确定因素。这一点容易被忽略。当你连上咖啡馆、机场的免费Wi-Fi时,同一网络下的其他人可以用抓包工具直接看到你访问的http页面内容。如果你在http页面上发了一条帖子、评论了一篇文章,别人可以读到原文。这还不算最严重的——如果这个http网站有登录功能,别人能直接截获你的会话Cookie,进而冒充你登录。所以在这种网络环境下,只浏览不登录,或者使用VPN把所有流量加密,是比较保险的做法。

http-网站还能用吗
http-网站还能用吗

第五个场景:网站本身没问题,但你的浏览器版本太旧了。有些老网站至今只支持http,但它们提供的服务对安全性要求不高。比如某个大学的信息查询系统只开放http,但你查的是课程表、考试成绩这类非个人信息数据。这时候升级浏览器到最新版,它在处理http请求时会有更严格的混合内容拦截,能自动阻止不安全脚本。同样,操作系统和反恶意程序软件也要保持更新,因为http流量更容易被中间人攻击,系统自带的防火墙和网络保护功能能起到需要结合实际情况判断作用。

最后一个操作建议:养成主动检查的习惯。在访问任何需要输入个人信息的页面之前,看一眼地址栏是基础动作。如果你在某个http网站上发现它要求上传身份证照片、绑定手机号,建议直接关闭并寻找该网站的公开标注App或微信公众号作为替代渠道。很多来源清楚机构已经提供了移动端服务,App的通信全程使用HTTPS且经过应用商店审核,比直接用浏览器访问http网站更可靠。

总的来说,http不是不能用的协议,但你要清楚自己在什么场景下用它。只读不写、不涉及个人信息、不连接公共Wi-Fi,这三个条件同时满足时,大部分http网站可以正常使用。一旦打破其中任何一条,就换一条更安全的访问路径。下次看到不安全提示,先看看自己接下来要做什么操作,再做决定。