国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

全球HTTPS時代已來,你跟上了嗎?

hss01248 / 1306人閱讀

摘要:而未來的互聯網網絡鏈路日趨復雜,加重了安全事件發生。蘋果強制開啟標準蘋果宣布年月日起,所有提交到的必須強制開啟安全標準,所有連接必須使用加密。最后是安全意識。

互聯網發展20多年,大家都習慣了在瀏覽器地址里輸入HTTP格式的網址。但前兩年,HTTPS逐漸取代HTTP,成為傳輸協議界的“新寵”。
?
早在2014年,由網際網路安全研究組織Internet Security Research Group(ISRG)負責營運的 “Let"s Encrypt”項目就成立了,意在推動全球網站的全面HTTPS化;今年6月,蘋果也要求所有IOS Apps在2016年底全部使用HTTPS;11月,Google還宣布,將在明年1月開始,對任何沒有妥善加密的網站,豎起“不安全”的小紅旗。

去年,淘寶、天貓也啟動了規模巨大的數據“遷徙”,目標就是將百萬計的頁面從HTTP切換到HTTPS,實現互聯網加密、可信訪問。

更安全、更可信,是HTTP后面這個“S”最大的意義。HTTPS在HTTP的基礎上加入了SSL/TLS協議,依靠SSL證書來驗證服務器的身份,并為客戶端和服務器端之間建立“SSL加密通道”,確保用戶數據在傳輸過程中處于加密狀態,同時防止服務器被釣魚網站假冒。

HTTP為什么過時了?

很多網民可能并不明白,為什么自己的訪問行為和隱私數據會被人知道,為什么域名沒輸錯,結果卻跑到了一個釣魚網站上?互聯網世界暗流涌動,數據泄露、數據篡改、流量劫持、釣魚攻擊等安全事件頻發。

而未來的互聯網網絡鏈路日趨復雜,加重了安全事件發生。可能在星巴克被隔壁桌坐著的黑客嗅探走了口令,或者被黑了家庭路由器任由電子郵件被竊聽,又或者被互聯網服務提供商秘密注入了廣告。這一切都是由互聯網開始之初面向自由互聯開放的HTTP傳輸協議導致的。

HTTP數據在網絡中裸奔

HTTP明文協議的缺陷,是導致數據泄露、數據篡改、流量劫持、釣魚攻擊等安全問題的重要原因。HTTP協議無法加密數據,所有通信數據都在網絡中明文“裸奔”。通過網絡的嗅探設備及一些技術手段,就可還原HTTP報文內容。

網頁篡改及劫持無處不在

篡改網頁推送廣告可以謀取商業利益,而竊取用戶信息可用于精準推廣甚至電信欺詐,以流量劫持、數據販賣為生的灰色產業鏈成熟完善。即使是技術強悍的知名互聯網企業,在每天數十億次的數據請求中,都不可避免地會有小部分流量遭到劫持或篡改,更不要提其它的小微網站了。

智能手機普及,WIFI接入常態化

WIFI熱點的普及和移動網絡的加入,放大了數據被劫持、篡改的風險。開篇所說的星巴克事件、家庭路由器事件就是一個很有意思的例子。

自由的網絡無法驗證網站身份

HTTP協議無法驗證通信方身份,任何人都可以偽造虛假服務器欺騙用戶,實現“釣魚欺詐”,用戶根本無法察覺。

HTTPS,強在哪里?

我們可以通過HTTPS化極大的降低上述安全風險。

從上圖看,加密從客戶端出來就已經是密文數據了,那么你的用戶在任何網絡鏈路上接入,即使被監聽,黑客截獲的數據都是密文數據,無法在現有條件下還原出原始數據信息。

各類證書部署后瀏覽器呈現效果:

免費SSL數字證書(IE上,Chrome下)

OV SSL數字證書(IE上,Chrome下)

EV SSL數字證書(IE上,Chrome下)

全世界都對HTTPS拋出了橄欖枝

瀏覽器們對HTTP頁面亮出紅牌

谷歌、火狐等主流瀏覽器將對HTTP頁面提出警告。火狐瀏覽器將對“使用非HTTPS提交密碼”的頁面進行警告,給出一個紅色的阻止圖標;Google Chrome瀏覽器則計劃將所有HTTP網站用“Not secure”顯注標識。

圖片來源:Googleblog

對于一般用戶來講,如果是這樣標識的網站,可能會直接放棄訪問。

蘋果iOS強制開啟ATS標準

蘋果宣布2017年1月1日起,所有提交到App Store 的App必須強制開啟ATS安全標準(App Transport Security),所有連接必須使用HTTPS加密。包括Android也提出了對HTTPS的要求。

HTTP/2協議只支持HTTPS

Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密連接,才能使用HTTP/2協議。

HTTPS提升搜索排名

谷歌早在2014年就宣布,將把HTTPS作為影響搜索排名的重要因素,并優先索引HTTPS網頁。百度也公告表明,開放收錄HTTPS站點,同一個域名的http版和https版為一個站點,優先收錄https版。

英美強制要求所有政府網站啟用HTTPS

美國政府要求所有政府網站都必須在2016年12月31日之前完成全站HTTPS化,截至2016年7月15日,已經有50%政府網站實現全站HTTPS。英國政府要求所有政府網站于2016年10月1日起強制啟用全站HTTPS,還計劃將service.gov.uk提交至瀏覽器廠商的HSTS預加載列表,只有通過HTTPS才能訪問政府服務網站。

超級權限應用禁止使用HTTP連接

采用不安全連接訪問瀏覽器特定功能,將被谷歌Chrome瀏覽器禁止訪問,例如地理位置應用、應用程序緩存、獲取用戶媒體等。從谷歌Chrome 50版本開始,地理定位API沒有使用HTTPS的web應用,將無法正常使用。

只有部分網頁可不夠,全站HTTPS才是最佳方案

很多網站所有者認為,只有登錄頁面和交易頁面才需要HTTPS保護,而事實上,全站HTTPS化才是確保所有用戶數據安全可靠加密傳輸的最佳方案。局部部署HTTPS,在HTTP跳轉或重定向到HTTPS的過程中,仍然存在受到劫持的風險。

情況一:從HTTP頁面跳轉訪問HTTPS頁面

事實上,在 PC 端上網很少有直接進入 HTTPS 網站的。例如:支付寶網站大多是從淘寶跳轉過來,如果淘寶使用不安全的 HTTP 協議,通過在淘寶網的頁面里注入 XSS,屏蔽跳轉到 HTTPS 的頁面訪問,那么用戶也就永遠無法進入安全站點了。

圖片來源:EtherDream《安全科普:流量劫持能有多大危害?》

盡管地址欄里沒有出現 HTTPS 的字樣,但域名看起來也是正確的,大多用戶都會認為不是釣魚網站,因此也就忽視了。也就是說,只要入口頁是不安全的,那么之后的頁面再安全也無濟于事。

情況二:HTTP頁面重定向到HTTPS頁面

有一些用戶通過輸入網址訪問網站,他們輸入了 www.alipaly.com 就敲回車進入了。然而,瀏覽器并不知道這是一個 HTTPS 的站點,于是使用默認的 HTTP 去訪問。不過這個 HTTP 版的支付寶的確也存在,其唯一功能就是重定向到自己 HTTPS 站點上。劫持流量的中間人一旦發現有重定向到 HTTPS 站點的,于是攔下重定向的命令,自己去獲取重定向后的站點內容,然后再回復給用戶。于是,用戶始終都是在 HTTP 站點上訪問,自然就可以無限劫持了。

圖片來源:EtherDream《安全科普:流量劫持能有多大危害?》

而全站HTTPS化可以確保用戶在訪問網站時全程HTTPS加密,不給中間人跳轉劫持的機會。國外各大知名網站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過Always on SSL(全站https)技術措施來保證用戶機密信息和交易安全,防止會話劫持和中間人攻擊。

圖片來源:Symantec《Protect the Entire Online User Experience: with Always On SSL》

那么問題來了,為什么HTTPS百般好,全世界卻還有過一半的網站,還在使用HTTP呢?

首先,很多人還是會覺得HTTPS實施有門檻,這個門檻在于需要權威CA頒發的SSL數字證書。從證書的選擇、購買到部署,傳統的模式下都會比較耗時耗力。目前,主流CSP都集成了多家證書頒發機構的SSL證書,部署過程也相對更容易一些。因“麻煩”和“門檻”而不HTTPS化的現象,預測也將有所緩解。

第二是性能。HTTPS普遍認為性能消耗要大于HTTP。但事實并非如此,用戶可以通過性能優化、把證書部署在SLB或CDN,來解決此問題。舉個實際的例子,“雙十一”期間,全站HTTPS的淘寶、天貓依然保證了網站和移動端的訪問、瀏覽、交易等操作的順暢、平滑。通過測試發現,經過優化后的許多頁面性能與HTTP持平甚至還有小幅提升,因此HTTPS經過優化之后其實并不慢。

最后是安全意識。相比國內,國外互聯網行業的安全意識和技術應用相對成熟,HTTPS部署趨勢是由社會、企業、政府共同去推動的。不過,隨著國內等保、網絡安全、P2P監管措施的普及,HTTPS也有望造福更多網民。

參考來源

[1] EtherDream文章《安全科普:流量劫持能有多大危害?》

[2] Symantec文章《Protect the Entire Online User Experience: with Always On SSL》

作者:經倫@阿里云安全,更多安全資訊及安全知識,請訪問阿里聚安全博客

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/11207.html

相關文章

  • 硅谷容器公司Rancher年報:預示著容器時代已來

    摘要:來自美國硅谷的容器管理軟件提供商今天公布了年的公司業績,其員工人數翻了一番,年盈利額超過目標,擁有超過萬次的軟件下載量。在最新版本中,該公司添加了對容器的實驗性支持。 來自美國硅谷的容器管理軟件提供商Rancher Labs今天公布了2016年的公司業績,其員工人數翻了一番,年盈利額超過目標20%,擁有超過1900萬次的軟件下載量。Rancher Labs的主產品——開源的容器管理平臺...

    Songlcy 評論0 收藏0
  • 前端閱讀筆記 2016-11-23

    摘要:今天閱讀量不大。工具目前還很初級,名為,可以在上找到,各方面都還有待改進,以支持更多方式。方才確定不是配置的原因。好了,廢話不說了,直接上閱讀筆記。方面,國內基本僅此一人。請點擊閱讀原文查看更多,不止這三篇哦晚安 今天閱讀量不大。一則今天的文章確實不多,跟蹤的 30+ 博客更新不多。二則今天的主要精力在別的事情上。 首先,之前遇到過一些 CSS 精靈圖的問題。同樣的圖標,切下來的尺寸卻...

    wind5o 評論0 收藏0
  • 阿里云朱照遠:AI打開新視界 8K時代已來

    摘要:在亞太領袖峰會上,阿里視頻云總經理朱照遠叔度作了題為享見未來開啟新視界的主題演講。視頻,比你更懂你的視頻朱照遠談到,全民視頻的時代已經來臨,互聯網流量以上來自視頻,未來將超過。因此阿里云發布邊緣節點服務,是阿里云的邊緣計算的第二款產品。 摘要: 2018年4月11-12日,2018亞太CDN峰會在北京隆重召開,大會由亞太CDN領袖論壇、電視云論壇、短視頻論壇、視頻云論壇、新技術論壇、運...

    voidking 評論0 收藏0
  • 阿里云朱照遠:AI打開新視界 8K時代已來

    摘要:在亞太領袖峰會上,阿里視頻云總經理朱照遠叔度作了題為享見未來開啟新視界的主題演講。視頻,比你更懂你的視頻朱照遠談到,全民視頻的時代已經來臨,互聯網流量以上來自視頻,未來將超過。因此阿里云發布邊緣節點服務,是阿里云的邊緣計算的第二款產品。 摘要: 2018年4月11-12日,2018亞太CDN峰會在北京隆重召開,大會由亞太CDN領袖論壇、電視云論壇、短視頻論壇、視頻云論壇、新技術論壇、運...

    sourcenode 評論0 收藏0

發表評論

0條評論

hss01248

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<