注意：我这里所说的被监听，并不是指国家的安全部门的监听。而是指被非法份子监听。

我也不是危言耸听，也不是标题党，也不会到处复制粘贴那些自己都看不懂的信息。

我的文章里所说的任何信息都是经过我自己亲自验证的。

我这里有明确的证据，证明：至少在我的一次很普通的，从我在海口的家里，访问在上海的腾讯的服务器的过程中，我访问时所附带的参数信息就被窃取，并且访问令牌接着就被伪造来尝试访问了！

如果您看不懂上面的信息没关系，以很通俗的话语来说，就是：任何一次你用手机登录银行或付款等过程中，其实你的帐号密码等信息基本上都是处于被别人监听的状态。而这个别人并不是指国家的安全部门或合法的机关部门，而是非法的的存在。

所以，如果我的这篇文章被推给了您，并且您看到了，希望您能分享给你朋友，并时刻提醒他们注意信息安全：

我这篇文章的信息可以证明，至少在咱们的主干网络上，存在着一些路径，是被别人监听的。

1、千万不要在任何不值得任何的网站上使用你的常用的密码进行帐号注册登录。这并不是说那个网站会透露您的信息（当然也是有可能的），而是指那个网站采用的访问方式的加密等级不够，就有可能造成在你访问那个网站的过程中，你的登录的信息就被别人给窃取了。这跟那个网站太大的关系，要说有关系的话，就是指那个网站采用的加密方式不安全造成的。

2、千万不要在外头用别人的共享的WIFI来做登录付款之类的操作。这并不是说不用就安全了，因为即使不用，也是有极大的可能你的手机所处的网络与你访问的目标网络这一段路径是被别人监听的。而如果你用别人的WIFI，实话说，任何一个稍微懂点的不太阳光的人，都会弄在他的WIFI网络里做监听，也就是说，如果我配置一个共享的WIFI，然后我弄一个监听，如果你用我的WIFI来登录或登记一些敏感的信息，那么基本上你的信息都能被我监听到，但是被监听到的信息能不能被破解，那就得要看你访问的网站所采用的信息加密的等级够不够高了。

一般来说，咱们经常所用的微信、支付宝、等这些大的服务商提供的服务器访问时的安全级别都是可以的，但是！开发人员有千千万，也避免不了正好你访问的那个模块是一个不太注意这些方面的开发人员提供的，不小心把你的个人信息以明文方式来交换，那么这在交换的过程中，如果不巧你正好是处于被别人的监听状态时，那么很不幸的告诉你，你的信息就被窃取了。

那么，做为普通老百姓的我们，有办法避免我们的信息被窃取吗？很遗憾的告诉您：至少从我目前能掌握的有限的认知来说，避免不了！

即使做为所谓的IT工作都的老鸟如我，我都避免不了，唯一能做的就是：希望我访问的过程采用的加密信息不要被监听者解密了！

也许您很多时候都有听说过很多咱们的网络不安全，要如何如何之类的，但那些大都是别人人言亦言的，并没有什么实质的证据去证明这个事。而我这里告诉您的是，这篇文章后面的日志信息就能直接证明我所说的话。

您可以看不懂，也可以不理解，但可以把我这篇文章所示的证据信息让看得懂的人看，那么就能知道我所说的是事实。

任何时候，都需要您记得：在你的某一次很不经意的访问过程中，实际上你的访问时所附带的很重要的信息，是被别人获取了的。但至于他获取到了能不能解密或者能不能看到信息真正的内容，就只能寄希望于你访问的服务端所采用的安全加密的级别是否足够。

事件来源于我开始建设我的个人站点。

当我把站点初步建设完成后，在我还没有对外公布任何信息之前，在我的服务器上收到了一些奇怪的异常访问的日志。这两篇文章里正是我发现异常访问时的日志信息。

1、才开了一天的服务器，就收到很多异常的访问请求，也不知道这个Z-Blog的程序代码是否有漏洞！ https://blog.forbs.cn/post/14.html

2、未解之谜！难道我从家里的宽带访问我的服务器的时候，这中间的过程中，我被劫持了？ https://blog.forbs.cn/post/16.html

发现这些异常日志的时候，心里倒是没有多想什么，在现今世界上确实是有一些人，在对任何一台有可能满足他们的条件的服务器发起一些常规的扫描等攻击，这一点，至少是在现今的这个世界中，是一个非常普遍的、“正常”的现象了，但是，这篇文章的重点并不在这里。

以为是服务器开着摆在那里，受到这些扫描也是正常的。

可是，事实却远没有这么简单！

发现第2篇文章里的内容时，突然就觉得不太对劲了。我还没有向外发布任何信息呢！

第一，至少这世界上，除了域名解析商的服务器里存在有我这个站点的域名 blog.forbs.cn 之外，没有人能知道这个域名的存在，也不会知道可以通过这个域名可以开始访问到一个站点了。

第二，我现在建设的这个站点必须是要通过域名才能访问的，也就是说通过IP的方式是访问不到我的站点程序的，除非是微软的IIS有漏洞，这个应该是不可能的，因为IIS从它诞生之日起，就没有发生过任何这样的事件，即设置的站点绑定了域名后还可以通过ip的方式进行访问。意思就是，即使您知道了我的站点的IP，但您并不知道我的域名，您也是无法正常访问到我的站点程序的！可以理解为 我的域名就是我的站点的第一道密码。

第三，两篇文章里的日志显示，对方都直接精准的访问了我后台的并且是需要授权的程序。意思就是，即使是您知道了我的后台的路径，但没有通过域名进行访问，您也是无法访问到我的后台程序的，更不可能在我的站点的日志里记录下这一次的访问行为。

第四，虽然我的服务器以及我工作用的电脑都是祼奔的，但是，没有中毒，没有恶意代码在我的电脑上运行，这一点，我还是非常自信的！

刚开始发现时也没有多想，安静下来后，就觉得很不正常了。

它是如何访问到我的后台程序的？并且，第2篇文章显示，它的访问的URL地址，使用的cookie参数与我自己访问的参数是完全一致的！

通过以上的信息，只能得出来一个结论：

从我的工作电脑所在的运营商所提供给我的互联网的通道开始，到访问我的服务器，这一段网络路径，我被监听了！

做为读者的您，可能对上面所写的信息不一定能看得明白，但是，我用通俗一点的话来说，就是：

做为这个世界上几十亿人口中的很普通的一个互联网访问者的我和您，只是很随机的访问一个网站，访问行为就被监听了，并且对方获得咱们的访问信息后，伪造了一个有可能与咱们的访问参数完全一致的令牌，向网站需要授权的程序发起了访问！

如果上面这一点您还没看明白的话，那么，我得要告诉您：

如果当时我访问的参数是一个带有某个帐户的信息，那么，我的信息就在那么很普通的一次访问中，被泄漏了！

细思极恐！

        曾经，至少是在这一次事件之前，我也一直都天真的以为，就像是您也经常会在网上看到的那样，不要随便在外边公共场所利用公共的、或者是别人的网络（一般指WIFI）来上网，因为那样可能会造成信息泄漏。是的，我可以非常明确的回答您，确实是很可能的，因为这一点，随便一个稍微懂点网络知识的人，都可以做到，没太大的技术难度。

        但是，我这一次事件并不是在公共场所发生的，从我的工作电脑，到我的防火墙，到运营商提供给我的光纤线路，经过运营商的各个主干网络后，访问到达腾讯云的上海的服务器，这个访问，看起来“应该”是安全的，不应能被监听的。但是，事实是，我确实是被监听了！！！

        那么，除了我之外，您呢？我相信，这个现象肯定是非常非常普遍存在于当今的这个互联网世界的。

        所以，我必须得要非常明确的告诉您，也告诉我自己，我们的网络访问行为，有非常大的可能，是处于被别人监听的状态下的！

        在这么一种环境下，可以尽量的避免信息泄漏吗？

我只能告诉您，很难，只能做到的就是，即使是被监听者获取了您发送的信息，但是信息内容是无法被破解，并且是无法被做伪造的：

1、千万不要用别人的WIFI来登录任何带有帐号信息的站点或程序；

2、访问信息带重要的隐私信息时，尽量先确认一下：您访问的服务是否采用了https？

        在这里，就以我那比较有限的知识稍微普及一下，什么叫 http和 https 。

        我们访问网站时，大都会被告知，站点地址是不是以 http或者是https开始的。

        如果是http（没有s）开始的，那么，我就建议您不要访问了，访问是可以，但是不能去进行注册登记这样的操作，因为http在传送您的信息时，是以明文方式传输的，即，当您的信息被监听者获取时，他就可以直接看到您的帐号密码等这些明文的信息，即使是您的密码在传输前是经过加密的，但它传输的也是加密后的明文，这对于监听者来说，加不加密基本上没太大的区别，因为监听者根本就不需要知道你的加密前的密码，直接就以您加密后的明文的密码去发起访问，一般来说都没什么太大的问题（如果后台的开发者可以考虑到这一情况并且做了相应的控制的话，也是可以避免被伪造者访成功访问的，这是另外的技术话题，在此不做讨论）

        如果是https开始的，那么我们可以放心大胆的相信吗？

        至少可以明确的一点是：https是在传输的过程中，是以一种即使是被监听者获取了也基本上处于无解的方式进行加密的方式传输的，但是，它加密的这一段信息，是有条件的，如果服务提供者（一般是开发者）是将您的信息放在了加密区里（技术点说，就是采用POST方式传递信息，那么POST的参数信息就是被加密的），而访问的站点地址是无法被加密的，这时，如果开发者并不了解这一点的区别时，把您的隐私信息直接放在了访问地址进行传送时（访问地址也是可以传送参数信息的），那么您的信息将跟http的访问没有任何区别，也是以明文方式可以直接被监听者获取的。

         http与https的最主要的区别是：http方式下，双方传送的信息，全部都是以明文方式传送的，而https方式下，就是除了您访问时的地址信息是明文的，其它的信息，包括您传送的和接收的，都是以一种可以说是基本上无法被解密的方式进行传输的，并且这种加密信息还是随时变化的，即同样的访问，不同的时间，加密后得到的信息都是不一样的。

        庆幸的是，现在的大的系统服务提供商，都知道了这种问题的存在，基本上都把http弃用了，都转成了https，但是，我上面也说了，并不是说https就一定是安全的。如果您的隐私信息被开发者放在了加密信息区传送，当然就不会有问题，但系统的开发商的开发人员，可随时都是在更换的，各个开发者的技术能力都是有区别的，很多开发者就不一定会真正的会注意到并且去避免这一问题的发生。

       再说了，在当今这个世界，手机APP满天飞，使用手机APP时，我们做为普通使用者，根本也不知道APP是不是用的https的方式进行通信的。

所以，在任何需要传送隐私信息之前，请您先记得我这里说过的这个事件。。。