如果http 不升级为 https 的话,有什么办法可以也保证安全性。加密吗? 如果不改为https的话,会不会有客户使用支付宝或微信支付时,被劫持支付,将支付的金额打到相应的劫持了的设置的账号上去呢?或者是 还会出现其它什么情况吗?
安全有多个维度,保密性、可用性、完整性。https只是保证保密性,也可以进行身份证验证和完整性验证。你可以通过网站IP地址白名单来限制你http的访问,当然这个就减少了可用性的范围,如果你是对全网开放的肯定是不适用。未加密最大的风险就是被抓包的话可以看到数据包中的用户名密码,所以即使整个网站未加密,至少用户名密码应该进行加密。
加密是肯定的,尽量多重加密和自创算法,不容易破解。另外业务端要做代码混淆,用Websocket也可以加强(不容易被拦截)
记住,后端一定要配合好。引用一下《飞向人马座》,在技术发达的时代,任何安全措施都只能做到相对安全。
希望采纳~
确实是有这个风险的,其实这个https就是隐式的交换秘钥然用秘钥加密数据的过程,你也可以自己模拟这个过程,自定义一个复杂的协议,不过app是可以反编译的,你这一顿操作对专业搞这个的来说并没有实际意义,其实就https而言,如果网络环境不安全也同样存在劫持风险,所以我们考虑安全的时候只能默认它网络环境是安全的,包括支付宝,微信他们也有人去解析他们的协议,而且弄的明明白的,你如果有途径可以了解到他们的内部数据,就会知道,他们每年也会被搞,只不过一边有人挖一边有人补,而且https现在证书也不贵,还有免费的,先用上再说,毕竟想搞你也是需要门槛的
https 证书可以上 宝塔 上整, 有免费的可以一直续;
如果是怕业务交互数据被篡改, 可以在接口数据交互时用 非对称加密算法, 由服务端保留公钥传私钥给前端进行参数加密, 服务端接受时在进行解密; 也可以用 单向散列加密 对接口参数进行签名校验;
https不容易被拦截修改是加密传输。
http很容易被到拦截,因为传输都是明文的。比如接入别人wifi,你的密码都是可以嗅探的。
支付宝或微信支付十年前都是https了,技术成面上钻不到漏洞了,放心。