今天，很多商务人士要到不同的国家出差，在出差过程中，他们常常需要访问比如gmail, yahoo mail，github等很多网站，但这些网站在有些地方是不可访问的，因此，这些商务人士不得不借助一些VPN代理。

我曾经有一个疑问，当这些商务人士通过代理访问他们的工作邮件，甚至登录银行账号的时候，他们的敏感信息会不会被这些代理窃取？也就是中招所谓的『中间人攻击』。

在上图中，中间人伪装成网站，用户以为自己在和网站直接对话，实际却是和中间人在对话，泄露了自己的敏感信息。

这个问题也老早就被计算机专家想到了，所以他们建议我们用https来访问网站。比如我们访问微信公众号的时候，能在浏览器连接前面看到一个小锁的标记，这就是浏览器贴心地告诉我们我们现在使用的是https。

但为什么用https就是安全的呢？这里不展开所谓的技术细节，用一个图来说简单说明：

比如你访问微信公众号的时候，微信会给你一个证书(上图介绍信)来证明正在和你说话的是微信公众号真身，而且为了防伪，这个证书是由专门的权威机构签名认证的(上图村委会)，这样就可以避免某个中间人伪装成微信了。

可我们现在是通过代理来上网的，这个代理本身就是中间人啊，没有这个中间人我们就没法上网了啊？这一点也不用担心，代理只是原封不动地帮我们转发请求而已。

如果这个代理不仅仅转发还做了手脚怎么办？通过https进行的通话，内容都是加密的，代理无法看到对话内容，如果代理想做手脚就要尝试中间人攻击来窃取加密对话的密码(密钥)，而如上面的介绍，https因为有证书和签名机制，可以有效防止中间人攻击。

那么通过https访问网站就100%安全了吗？也不完全是，还是有几种情况有可能出现信息泄露的。

比如，当代理尝试中间人攻击的时候，它可以发一个假的证书给你，或者挂羊头卖狗肉，虽然发一个真的证书给你，但这个证书却不是认证你正在访问的网站的，这种情况下，你的浏览器都会给你一个警告：

苹果Safari浏览器的报警类似这样：

谷歌Chrome浏览器的报警类似这样：

如果你粗心大意，告诉浏览器信任这个证书，继续访问，那么你就有中招的风险了。

我们看到这种安全提醒依赖于浏览器，如果我们的浏览器有bug，或者浏览器本身没做好，那么我们就有可能会泄露敏感信息，这也是为什么专家推荐使用大厂浏览器的原因。

除了证书本身，攻击者还可能从证书的签名机构入手，现在有些电脑在出厂时会预置一些受信任的签名机构，如果电脑本身中了病毒或者因为其他原因，导致这个预置的签名机构列表中出现了冒牌机构，那么我们的浏览器就有可能信任伪造的证书而不给我们风险提示。

另外还有一种叫做重定向的攻击方法。比如你明明是用https://gmail.com来访问gmail的，中间人可以给浏览器发送一个响应，让浏览器用http://gmail.com来访问(注意https变成了http)，而当你用http来访问的时候，所有的信息都是明文的，中间人就可以看到你的敏感信息了。为了防止这一点，今天几乎所有的大厂都不再提供http访问，如果你用http来访问，这些大厂也会给你重新重定向到https上来。

所以归纳一下，用代理的时候，只要是用https来访问目标网站，并且你注意浏览器给出的风险提示，那么你的敏感信息就不会泄露。