HTTP（Hypertext Transfer Protocol）是一種瀏覽網路時所用的數據通訊協定，如果你在使用時曾留意過，大概會知道網址會是以「http://」為開頭。至於HTTPS（Hypertext Transfer Protocol Secure），簡單來說就是HTTP的安全版本，你可能曾在進行機密交易的時候看過，像是使用線上銀行或網路購物。若你正在使用網站中特別被保護的部份，網址列則會以「https://」開頭。

當你使用手機進行涉及敏感資訊的通訊時，請確保你的線上活動都是在安全連線中進行，不論是搜尋或閱讀資料、傳送Emai、寫部落格、或是上傳照片，都是如此。安全的線上瀏覽有三個要素：

• 數據必須要以加密的形式傳輸，萬一遭攔截時也無法解讀。
• 傳輸敏感資訊之前，必須要驗證網站的識別碼。
• 如果你不希望任何人知道你存取了某個網站，傳輸的來源端要隱藏或者保持匿名。

HTTPS就提供了前兩個功用。遠端網站的識別碼，可藉由確認其憑證來加以驗證其是否安全，而憑證正是被用於交易的加密上，只有傳輸者和被驗證為安全的網站可以解密。如果你也需要隱匿資料，除了HTTPS之外，你應該用proxy或像是Tor這樣的服務。

如何確保自己的瀏覽是安全的？

確保你的瀏覽安全首先有兩件簡單的事要注意：

• 網址開頭為「https://」。
• 你瀏覽器上的鎖定標示或其他指標，表示網站的憑證已經經過驗證，而且資料的傳輸都已加密。如果鎖定標示破了、開了、上面出現驚嘆號或問號，你的瀏覽可能就是不安全的。

每當你要輸入你自己的私密資料時，像是你線上帳戶的使用者名稱和密碼、信用卡資料、照片或影片等，確認上述兩件事會有所幫助。不過要注意的是，某些網站可能只有針對某些動作支援HTTPS，其他像是Twitter和Facebook，可能會允許你開啟一種總是使用HTTPS的設定，但在網站行動版的部分則預設為HTTP。

那靠HTTPS就夠了嗎？

甚至在你使用HTTPS的時候，雖然可能性不大，你的通訊還是可以被監聽。下列的兩種攻擊手法常被用於獲取你未加密的通訊內容，包括密碼、身分證字號或信用卡卡號之類的重要資料。

一、中間人攻擊（man-in-the-middle attack）：有心人士可以透過和你身處相同子網路的方式（通常是開放的WiFi網路），在你和遠端網站間截斷你們之間的通訊。也就是說，你以為你是在跟遠端網站通訊，但實際上的對象是入侵的中間人；反之亦然，遠端網站也會誤以為是在跟你通訊。

二、憑證授權單位（certificate authority）遭到攻擊：攻擊者取得憑證授權單位的控制權，而且有能力發佈假的SSL憑證。在這個狀況中，當你試圖識別遠端網站，一切反應將如你所預期，如同你平常使用的郵件或銀行服務，但事實上卻是不懷好意的冒牌網站。憑證授權單位Comodo最近一次遭到的攻擊，就讓位於伊朗的攻擊者發佈了有效的憑證給Gmail、Skype和Hotmail。

怎麼做，更安全？

• 當你用手機瀏覽時，特別注意那些未知或看起來很可疑的網站。
• 在你要用手機進行涉及敏感資料的通訊前，可以先在一般電腦上使用安裝過最新修補檔的瀏覽器，確認其是否安全。
• 當你存取你常使用的網站時，留意任何不尋常的警告訊息。這種警告訊息，是瀏覽器提醒你網站的網址和授權憑證的網址有所出入。這通常是因為某種管理錯誤，但也可以是中間人攻擊的警訊。
• 如最œ你是智慧型手機用戶，要確保你的行動版瀏覽器和作業系統都經常更新。

資料來源：Using HTTPS for Secure Mobile Browsing—MobileActive.org

相關資料：

什麼是中間人攻擊？

資訊安全公司F-Secure針對Comodo遭到攻擊的報告書

發現行動版瀏覽器弱點的案例—Google開發的第一支Android手機G1（不過這是08年的文章了）