如何避免心臟出血?整個互聯(lián)網(wǎng)需加密

責任編輯:王李通

2014-04-20 09:35:07

摘自:網(wǎng)易科技

網(wǎng)站如果是使用HTTPS協(xié)議,數(shù)據(jù)就會被編碼,理論上只有你和與你通訊的服務(wù)器能夠看到在你的電腦和服務(wù)器之間傳輸?shù)男畔?nèi)容。例如,HTTPS不僅僅加密服務(wù)器和你的電腦之間傳輸?shù)男畔ⅲ核€會驗證你在下載的內(nèi)容確實是來自你以為的來源。

國外媒體近日發(fā)布文章指出,Heartbleed漏洞打碎了人們對安全網(wǎng)絡(luò)的信任,但要是沒有為Heartbleed(心臟出血)所利用的那款加密軟件,情況會更加糟糕。事實上,互聯(lián)網(wǎng)是時候好好考慮一下一個新想法了:到處加密。

大多數(shù)主流網(wǎng)站是使用SSL或者TLS協(xié)議來保護在瀏覽器和服務(wù)器之間傳輸?shù)拿艽a或者信用卡信息。每當發(fā)現(xiàn)網(wǎng)站是使用HTTPS而非HTTP,你就會知道它使用的是SSL或者TLS協(xié)議。不過,只有少數(shù)幾個網(wǎng)站——如Facebook和Gmail——是使用HTTPS來保護其所有的流量,而不只是保護用戶的密碼和支付信息。

很多安全專家——包括谷歌的搜索專家麥特·卡茨(Matt Cutts)——都認為是時候?qū)⑦@一種加密推向整個互聯(lián)網(wǎng)。那意味著一切都會得到安全的連接,從你的銀行網(wǎng)站到本地比薩餅店的在線菜單。

卡茨負責領(lǐng)導谷歌對抗搜索引擎作弊的團隊。他幫助該公司通過調(diào)整搜索引擎算法來優(yōu)先展示特定網(wǎng)站。例如,該搜索引擎會優(yōu)先顯示載入速度快的網(wǎng)站,懲罰那些抄襲他人的網(wǎng)站。

卡茨今年早些時候曾向博主巴里·施瓦茲(Barry Schwartz)表示,如果他可以做主的話,他會讓谷歌優(yōu)先顯示那些使用HTTPS的網(wǎng)站。鑒于網(wǎng)站都希望爭得更高的搜索排名,這一變化如果真的落實,很可能會引發(fā)一股使用HTTPS的熱潮。

卡茨向施瓦茨指出,那是一個富有爭議的想法,它在谷歌內(nèi)部面臨著一些反對聲音。谷歌發(fā)言人稱,公司目前沒有東西要公布。因此該變化短期內(nèi)還不會發(fā)生。

“換掉純文本”

沒有誰比白帽黑客摩西·馬林斯帕克(Moxie Marlinspike)更加清楚SSL/TLS的安全隱患。該Twitter前工程師在其職業(yè)生涯中在那兩個協(xié)議中發(fā)現(xiàn)過多個重大漏洞,提議采用其它的處理信托和驗證的方式。不過他還是覺得在盡可能多的地方使用HTTPS會是好事。“我認為,讓網(wǎng)絡(luò)流量盡可能地不透明很重要,即便是對于靜態(tài)內(nèi)容。”他說道,“理想情況下,我們應(yīng)當完全換掉互聯(lián)網(wǎng)上的純文本。”

網(wǎng)站如果是使用HTTPS協(xié)議,數(shù)據(jù)就會被編碼,理論上只有你和與你通訊的服務(wù)器能夠看到在你的電腦和服務(wù)器之間傳輸?shù)男畔?nèi)容。

大多數(shù)主流網(wǎng)站僅使用HTTPS來保護你的登陸密碼和信用卡信息。不過這一點在2010年開始發(fā)生變化,當時軟件開發(fā)者埃里克·巴特勒(Eric Butler)發(fā)布的一款自由工具FireSheep說明,在一個共享網(wǎng)絡(luò)(如公共Wi-Fi)中短暫控制其他人的賬號其實很容易。

巴特勒認同更多的使用HTTPS是好事這一點,且指出使用HTTP會讓政府或者不法分子更容易監(jiān)視互聯(lián)網(wǎng)用戶在線上的一舉一動。The Intercept技術(shù)專家邁卡·李(Micah Lee)指出,在很多情況下,使用HTTPS意義重大,它不僅僅能夠保護密碼和其它的敏感信息。

HTTPS不僅僅加密服務(wù)器和你的電腦之間傳輸?shù)男畔ⅲ核€會驗證你在下載的內(nèi)容確實是來自你以為的來源。這一點普通的HTTP連接無法做到。

“任何涉及誘騙受害者連接至攻擊者的服務(wù)器而非真實服務(wù)器的攻擊,HTTPS都能夠制止。”邁卡·李通過電郵表示,“這一點非常重要,即便是對于非機密內(nèi)容:你可不想被攻擊者偷偷更改你在訪問的網(wǎng)站內(nèi)容。”

例如,不希望公民獲得維基百科上的特定信息的國家可以建立一個系統(tǒng)來向用戶呈現(xiàn)偽造的維基百科頁面。“要是沒有HTTPS,內(nèi)容審查就不僅僅是可行的。”邁卡·李說道,“對于像政府這樣的強力攻擊者來說審查會變得很簡單,普通用戶無法察覺得到。”

而最危險的情況之一是,黑客將普通軟件的下載替換成惡意軟件下載。“發(fā)行軟件的網(wǎng)站完全沒有理由使用HTTP,”邁卡·李指出,“它們應(yīng)當一直使用HTTPS,否則就會將軟件用戶置于危險當中。”

使用HTTPS的弊端

不過,如果HTTPS那么好,那為什么不是每一家網(wǎng)站都采用它呢?萬維網(wǎng)同盟HTTPS專家伊夫·拉豐(Yves Lafon)曾在2011年表示,到處使用HTTPS有幾個弊端。

首先是成本增加。你得從認證中心購買TLS證書,證書售價在一年10美元到一年1000美元之間,具體取決于你購買的證書類型和它提供的身份驗證等級。另一個問題是,HTTPS會增加服務(wù)器資源消耗,減緩網(wǎng)站的運行。不過馬林斯帕克和巴特勒均認為這些成本和資源開支實際上被大大高估。

而對于小型網(wǎng)站來說,問題則在于使用廉價共享主機的網(wǎng)站難以設(shè)立獨特的憑證。另外,使用內(nèi)容發(fā)布網(wǎng)絡(luò)(CDN)來提速的網(wǎng)站以往在實施SSL時通常都會遇到問題。相關(guān)問題如今已基本得到解決,不過網(wǎng)站的運行成本、性能和復(fù)雜程度因主機而異。

不過,即使整個互聯(lián)網(wǎng)還沒做好完全轉(zhuǎn)向HTTPS的準備,也有足夠多的理由來支撐更多的網(wǎng)站應(yīng)當開始默認使用HTTPS的觀點——尤其是那些提供共享的信息和軟件的網(wǎng)站。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號