我有一个暂时未维护的网站,我的客户打电话给我,以通知该网站在网站正常内容之间“显示淫秽”广告。我检查了一下,该网站没有SSL和第一个安全措施,即添加了SSL证书。
引入证书后,“淫秽标语”从客户的屏幕上消失了。我怀疑他的计算机上存在某种恶意软件,可以在网站上注入内容。它是否正确?没有SSL会使站点容易受到内容注入的影响,并且由于引入了证书,导致受感染机器无法继续这样做的原因是什么?
没有HTTPS的内容很容易被中间的一些人嗅探和修改。这可能是本地计算机上,路由器上,公共WiFi热点中的路由器上甚至是ISP上的某些过程。 ISP试图通过向流量中注入广告来从用户那里获得更多收益并不是闻所未闻的事情。
HTTPS可以防止对有效负载进行嗅探和修改,因此可以防止此类注入。