安全警示
全HTTPS时代来临?
[-]
Heartbleed动摇了人们对互联网安全的信心,但是如果没有这些加密软件,我们生活的世界会变得比现在更加糟糕。也许我们是时候朝新的方向展望——让加密无所不在。
大多数大型网站的加密方式无非两种要么是SSL,要么是TLS,两种安全协议都可以保护用户的密码安全和信用卡信息安全,保证信息在个人用户浏览器和服务器之间传输时的安全。鉴别网站是否使用这两种加密协议,只要看网址开头是不是HTTPS,如果是,说明网站正在使用SSL协议或TLS协议。但是少数网站,例如Facebook和Gmail,会对全站流量使用加密协议,而并非仅仅对密码和支付细节使用。
包括Google的内部搜索专家Matt Cutts在内的许多安全领域专家认为互联网是时候普及这种全面加密模式了。
Cutts掌管Google的页面垃圾团队。他帮助公司调试搜索引擎算法,使特定网站的排名高于其它网站。比如加载更快的网站会优先显示,而复制甚至剽窃其它站点文本的网站排名会下降。
按照Cutts的算法,Google会优先显示HTTPS协议网站。如果Google真的采纳并实施Cutts的方案,无疑会造成一波HTTPS狂潮,因为对于网站来说搜索排名就是一切。
Cutts对这个方案的利弊决口不谈,但是他说这个方案争议性很大,Google内部也有反对意见。一位Google发言人只是说目前公司不便透露。看来突然变动的可能性十分小。
摈弃纯文本Internet
著名的白帽黑客Moxie Marlinspike是前Twitter工程师,在他的职业生涯中他发现了许多协议中的若干个致命BUG,他还提出了解决协议中信任问题和验证问题的替代性方案,他称之为Convergence。他认为,尽可能在所有地方使用HTTPS协议是有利的。
使用HTTPS时,数据会被编码。理论上只有你和与你交换信息的服务器能够读取信息。
许多大型网站只在用户登录或涉及到信用卡信息进行购买时才使用HTTPS协议。这种情况从2012年软件开发者Eric Butler放出业余黑客工具FireSheep时开始改变,利用FireSheep用户可以轻松获取共享网络里其他用户的账户——在公共场所提供的Wi-Fi就可以办到。
Butler也同意更普遍的HTTPS使用会让安全性更高,他指出HTTP协议会让政府或罪犯偷窥到用户的行为。The Intercept的技术工程师Micah Lee指出HTTPS不应该仅仅被用于保护用户密码和其他敏感信息。
HTTPS并不是简单地对用户电脑和服务器之间传递的信息加密,还会验证用户下载的信息是否来自用户认为的来源——再次声明,是理论上。这是一般HTTP协议无法做到的。
完全SSL化之争
如果HTTPS如此强大,为什么大家都不用?使用HTTPS会带来许多缺点。
第一个缺点是增加成本,从几大证书管理机构购买TLS证书要花钱,每年花费大概在10-1000美元,不同的证书价格取决于你要购买的证书种类,以及证书能提供的验证级别。
另一个问题是HTTPS增加了服务器资源消耗,结果是网站变慢。但是Marlinspike和Butler说实际上人们大大高估了成本和资源占用。
小型网站通常使用廉价的共享托管主机,在网站安装唯一证书难度很大。如果使用HTTPS协议,使用CDN加速的网站会面对不少难题。今天这两大问题大体上已经解决,虽然不同主机之间的花销、性能和复杂度各不相同。
即便整个互联网对完全切换到HTTPS协议还没有做好准备,网站都应该开始默认使用HTTPS协议——尤其是提供软件和公共信息的网站。就算Google的新政策不实行,只要想想从FrieSheep出现到现在黑客技术已经前进到了何种程度,你就会觉得HTTPS的大规模推广是绝对有必要的。