你有没有过这样的经历:在咖啡厅连上免费Wi-Fi,刚登录购物网站,转头就收到一堆广告短信?或者明明没搜索过某类商品,手机却开始推送相关广告?这些看似巧合的事,背后可能和HTTP请求被截获有关。
HTTP请求到底是什么
每次你在浏览器里打开一个网页,手机App加载数据,其实都在发送HTTP请求。这个请求里包含了很多信息:你要访问哪个页面、输入的搜索词、甚至登录用的用户名密码(如果网站设计不安全)。简单说,它就像一封明信片,内容谁都能看。
公共Wi-Fi最危险
在家用路由器,网络相对封闭,别人不容易接触到你的数据。但一到商场、机场、餐厅的公共Wi-Fi,情况就不一样了。这些网络往往没有加密,同一网络下的设备可以互相“监听”。有人只要装个简单的抓包工具,比如Wireshark,就能看到周围人发出的HTTP请求内容。
举个例子:你在一家奶茶店连上Wi-Fi,打开一个老式论坛发帖问“哪里修手机便宜”。几分钟后,你手机收到了附近手机维修店的优惠推送。这很可能就是你的HTTP请求被嗅探到了。
HTTPS才是护身符
现在大部分正规网站都用HTTPS代替HTTP。区别在哪?HTTPS会在传输前把数据加密。即使被人截获,看到的也是一堆乱码。浏览器地址栏的小锁图标,就是HTTPS在工作的标志。
但注意,并不是所有App都用了加密。一些老旧或小众应用,依然在用明文HTTP传数据。你可以在手机设置里开启“无线局域网助理”之类的功能,强制应用使用安全连接。
公司网络也在监控
别以为只有外面不安全。很多公司内部网络也会记录员工的上网行为。IT部门能看到你访问了哪些网站,哪怕你是用HTTP还是HTTPS。只不过HTTPS的具体页面内容他们看不到,但域名是暴露的。比如他们知道你上了微博,但不知道你私信了谁。
自己也能试试看
想验证这一点?你可以用电脑开个热点,让手机连上去,然后在电脑上运行抓包软件。当你在手机浏览器搜索“附近加油站”,很可能在电脑上直接看到这个关键词出现在请求里——前提是那个网站用的是HTTP。
GET /search?q=附近加油站 HTTP/1.1\r\nHost: example.com\r\nUser-Agent: Mozilla/5.0...\r\n怎么保护自己
最简单的办法是只信HTTPS网站。浏览器现在都会对HTTP站点标“不安全”,看到这种提示就别输入任何个人信息。另外,用手机流量比连陌生Wi-Fi更安全。如果必须用公共网络,建议搭配正规VPN服务,相当于给所有请求加个密封信封。
还有一个容易忽略的点:家里的智能设备。像老款摄像头、智能插座,很多还在用HTTP通信。黑客一旦进入你家网络,就能通过抓包获取设备密码。定期升级固件,关闭不必要的远程访问功能,能减少风险。