Baidu收录https站点

 

近日,续google发布优先收录https后(http://www.googlewebmastercentral.blogspot.ch/2014/08/https-as-ranking-signal.html),baidu也宣布将收录https站点(http://zhanzhang.baidu.com/wiki/392)。各大搜索引擎对https站点的收录,预示了中国互联网正走向全民ssl时代。

 

 

鱼和熊掌不可兼得

         对于搜索引擎下的排名,毋庸置疑是各个站点在意的影响力,一个排名靠前的网站,带来的点击量可以给网站带来巨大的利益,这也是为什么很多站点不惜baidu竞价,seo等来提高自身的排名。

         与此同时,由于baidu自身的原因,无法收录https的站点。

 

         遇到安全与商机,该如何抉择呢?鱼和熊掌不可兼得?

 

 

退而求其次

         对于有影响力的网站来说,既希望自己的排名靠前又希望能保证自己客户信息的安全,往往会选择这样一种做法,采取部分内容加密。比如:用户登录,注册,支付,有这些操作的页面采取了https加密,而主页则仍保留http的方式。

        

这样做其实是存在隐患的。

我们知道http是无状态的协议,也就是每次请求都是单独的,服务器为了保存和浏览器端的信息,往往会使用一个叫做session的数据来凭证,比如登录某电商网站,购物车中的信息会保存在session中,这样你新打开一个链接,购物车里的数据是不会清零的。

我们知道了这个session的重要性后,如果用户在http明文传输时,被同一网络中的恶意方劫持,就可能使用此session来热攻击,比如用此session来伪造用户登录。

 

所以,部分页面加密这种退而求其次的做法其实是有隐患的,全站加密才是每家需要做的安全措施。

 

 

部署https站点

         这次baidu开放收录https无疑是给互联网一阵安全风,大家可以放心部署https站点。