写给抓虾、豆瓣、土豆、又拍等网站的老大

其实，标题是用来吸引人的，但我不至于用标题来欺骗读者，我确实有话对这些公司的决策者们说。这事关用户体验和安全。

我以前写了一篇《科普:如何防范ARP欺骗》，很早就注意到Arp sniffer这种局域网黑客技术了，原理很简单，就是利用ARP地址解析协议来骗同网段的其它机器，告诉别的机器我才是网关，结果上当的机器把数据包都发往这台机器，导致这些机器上不了网，或者自己做成一个代理服务器，把通过自己机器的数据包全部抓取，找里面的有用信息，如密码和信用卡号码之类的。当我们访问一个网站时，消息是没有加密传输的，很容易被人截获并读取里面的信息，但是，如果我们访问一个使用了安全证书的网站，我们就不担心信息被别人看到了。

有些网友可能注意到，安装一个新WINDOWS操作系统后，第一次使用Internet Explorer游览器，一旦提交任何内容，都会有一个提示”您发送的消息有可能被别人看到，是否继续？”

如果细心，我们也可以发现，在GOOGLE的相关服务的登录界面的地址栏里的地址都是HTTPS开头的，Google使用SSL安全通信方式在保护用户的登录信息不会被截取。

抓虾、豆瓣、土豆、又拍这些web2.o网站为什么还没有保护用户提交的信息不会被截取？我倒只发现wealink.com用到了网站安全证书，给网页加上了https，wealink似乎买的是最贵的CA发行商VeriSign Trust Network颁发的证书，好像要几万块钱一年吧。我觉得抓虾、豆瓣、土豆、又拍这些不大不小的网站花几千块钱买一个数字证书的钱还是有吧？

对了，服务器安全证书这东西本来可以自己给自己颁发一个，不过，用户在第一次访问这个网站时会被要求信任这个证书，会弹出一个安全警告窗口让用户作判断；如果服务器证书是被浏览器内置的信任的机构颁发的证书，那就不会弹出任何安全警告窗口了，也不会影响用户体验了。至于哪些证书机构是被Internet Explorer和Firefox等主流浏览器默认为信任的机构，打开游览器的证书选项查看证书就可以看到：）

所以，建议抓虾、豆瓣、土豆、又拍这些网站的老板去为自己的服务器购买一个最适合自己的安全证书，免得用户丢了密码怪你们没有提供https的登录网页。

说了这么多，不知道几个看得明白。不管了，其实，我只是为了炫耀我自己的服务器有了证书，是在myssl.cn申请的免费的只有30天有效期的安全证书，虽然只有30天有效期，但这是被浏览器内置的信任的机构颁发的证书啊。我若有了钱，我就花300多块钱买一个一年的证书好了。有了加密的SSL，这下我就不怕GFW的基于内容过滤的reset了，我只怕GFW再次屏蔽我的这个新IP。这已经是我换的第5个IP了。GFW追着杀了我4个IP了。最短不到12小时就被屏蔽我的新IP了。我会继续与GFW作斗争的。如果GFW是自动屏蔽，我就把我的IP设置为Google、Yahoo、Microsoft这些大公司的IP，陷害他们；如果GFW是手动屏蔽IP，那我就趁GFW的工作人员睡觉或星期六星期天不上班的时候换IP，累死这帮狗娘养的。

最后，欢迎国内国外网站访问https://www.zuola.com，我可能得了一个”中国纪录”：最早使用SSL技术在自己的BLOG服务器上的BLOGGER。我很想知道，在中国人中，还有谁会为自己的BLOG买一个独享的IP和安全证书？谁是第二个？

Technorati : SSL https
Del.icio.us : SSL https