FavoriteLoading
0

部署HTTPS不代表100%安全

最近,世界最大的成人網站Pornhub 和其姐妹網站 YouPorn 宣布啟用安全級別更好的HTTPS網絡協議。打開網頁,你會發現地址欄出現一把“綠色小鎖”,網址鏈接中的“HTTP”也被綠色的“HTTPS”所取代。
為什么一家成人網站要大費周章的升級改造?為了隱私!要知道,在成人網站上信息被盜、被曝光,可比丟了個密碼糟糕多了。
這一點也不是危言聳聽。事實上,這樣的例子就離我們不遠。北美著名的婚外情網站Ashley Madison就在一年前遭受過用戶信息泄露事件。這次泄露的用戶信息中,不僅僅是泄露了帳戶密碼這么簡單,還有用戶的性取向、約炮的記錄,還有登陸網站的IP地址等,用戶的所有行為都被黑客公布于眾。
那么,由HTTP變成HTTPS就安全了?加個S就是Superman了嗎?!
為什么要用HTTPS?
美國民主與技術中心 CDT 首席技術專家 Joseph Hall 表示,HTTPS最大的兩個優勢就是保密性和完整性。使用 HTTPS,你的 ISP (互聯網服務供應商)就不會知道你在色情網站上干了些什么,即使是政府和間諜也不能辦到,因為這些信息是加密的。至于完整性,部署 HTTPS 可以防止第三方,或 ISP 惡意軟件的注入。
簡單地說,在公共場合連接WIFI時,如果你打開的是HTTP開頭的網站,那么就很有可能被竊取和修改,但如果是HTTPS就不會。因為HTTPS在傳輸過程和數據中都進行了加密,避免了中間節點的監聽,就像是給用戶的隱私和數據在傳輸過程中加了一個防護盾,保護它們順利抵達終點。

不僅在保護隱私上有防護盾,HTTPS還能使用戶在訪問網站時,不被流量劫持插入的廣告打擾,并且防止用戶訪問時被帶到遭遇劫持偽造的服務器,從而造成不必要的損失。

左:HTTP/右:HTTPS
HTTPS的“陷阱”
如此看來,從HTTP轉型HTTPS已是大勢所趨。然而據百度安全發布的《HTTPS最佳安全部署實踐》顯示,截止到3月1日,在全網13288198個網站中,使用HTTPS部署的網站僅占全網的8.2%。

據業內技術專家分析,不使用HTTPS,主要是成本問題。無論是證書還是流量成本都是阻礙中小企業沒有實行部署HTTPS計劃的原因。再加上大部分企業都缺乏的網絡安全意識,致使國內HTTPS部署緩慢。不過,由于《網絡安全法》的頒布,網絡安全成為每個企業不可逃脫的責任,再加上一些靠譜的免費證書的發布,選擇轉型HTTPS的企業將會越來越多。
可是真的只要進行HTTPS部署,網站就不會面對來自黑客的攻擊了嗎?《HTTPS最佳安全部署實踐》顯示,在使用HTTPS的1089693個網站上,有99.19%的網站存在配置或安全問題。

對此,百度安全專家表示,部署HTTPS不是一件一勞永逸的事情。這些99.19%網站的問題主要體現在兩方面。
首先是證書問題。不少網站使用的證書都存在各種各樣的問題,歸結起來主要是使用不靠譜的免費證書、不安全的證書簽名算法、證書主機名與域名對不上和證書過期等。
其次是漏洞問題。比如OpenSSL的心臟出血漏洞,攻擊者在一個心跳請求中可以獲取到服務器進程中最大為64KB的數據,通過發出多個這樣的請求,攻擊者就可以無限制地獲取內存數據。其他的還有OpenSSL CSS注入漏洞、協議降級漏洞、不安全重新協商漏洞等。
如何給用戶的隱私加把鎖
HTTPS已經成為網絡的發展趨勢,它對信息泄露難題提供了加密功能,用復雜的傳輸方式降低網站被劫持的風險,有效防止山寨、鏡像網站,并且搜索引擎對于HTTPS結果會優先展示。對于站長們所擔心的成本問題,目前證書及服務器的支持方案均已成型,所以成本可控。
以上優點都是HTTPS存在的理由。可是站長應該如何部署安全的HTTPS呢?
· 不使用不安全、老舊的SSL/TLS(安全套接層)版本,這就是在用戶資料及傳輸數據在到達目的地前的加密保障,所以絕不可大意;
· 部署HSTS,它可以攔截所有與網站進行的不安全的通信,支持HSTS能夠大幅度提高網站安全性,所以新網站的站長們最好在設計那一Part的時候就要考慮到它哦;
· 在白名單里尋找證書頒發對象(CA),由于任意CA廠商都可以簽發證書,這就表示一些不安全的因素的產生,不過好消息是,現在站長們可以強制指定心悅的CA來簽發指定的證書!
今年6月,《網絡安全法》將會全面實施,網絡安全已經成為上升到國家發展層面上的戰略方向,維護網絡凈土,保護用戶隱私安全,也是企業不可推卸的社會責任。在網絡安全事件頻發的時代,部署HTTPS已是大勢所趨。未來的互聯網將逐漸呈現為服務交易的閉環鏈,這需要參與互聯網的每一家企業都有網絡安全的責任意識。目前國內各大互聯網巨頭對于HTTPS的部署,更是起了一個風向標的作用。
* 網友發言均非本站立場,本站不在評論欄推薦任何網店、經銷商,謹防上當受騙!

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。