您的位置:首页>>互联网
搜索: 标题  

百度安全:部署HTTPS不代表100%安全

发布时间:2017-04-20 19:52:09  来源:互联网   编辑:即时新闻  背景:

  最近,世界最大的成人网站Pornhub 和其姐妹网站 YouPorn 宣布启用安全级别更好的HTTPS网络协议。打开网页,你会发现地址栏出现一把“绿色小锁”,网址链接中的“HTTP”也被绿色的“HTTPS”所取代。

  为什么一家成人网站要大费周章的升级改造?为了隐私!要知道,在成人网站上信息被盗、被曝光,可比丢了个密码糟糕多了。

  这一点也不是危言耸听。事实上,这样的例子就离我们不远。北美著名的婚外情网站Ashley Madison就在一年前遭受过用户信息泄露事件。这次泄露的用户信息中,不仅仅是泄露了帐户密码这么简单,还有用户的性取向、约炮的记录,还有登陆网站的IP地址等,用户的所有行为都被黑客公布于众。

  那么,由HTTP变成HTTPS就安全了?加个S就是Superman了吗?!

  为什么要用HTTPS?

  美国民主与技术中心 CDT 首席技术专家 Joseph Hall 表示,HTTPS最大的两个优势就是保密性和完整性。使用 HTTPS,你的 ISP (互联网服务供应商)就不会知道你在色情网站上干了些什么,即使是政府和间谍也不能办到,因为这些信息是加密的。至于完整性,部署 HTTPS 可以防止第三方,或 ISP 恶意软件的注入。

  简单地说,在公共场合连接WIFI时,如果你打开的是HTTP开头的网站,那么就很有可能被窃取和修改,但如果是HTTPS就不会。因为HTTPS在传输过程和数据中都进行了加密,避免了中间节点的监听,就像是给用户的隐私和数据在传输过程中加了一个防护盾,保护它们顺利抵达终点。

  不仅在保护隐私上有防护盾,HTTPS还能使用户在访问网站时,不被流量劫持插入的广告打扰,并且防止用户访问时被带到遭遇劫持伪造的服务器,从而造成不必要的损失。

  左:HTTP/右:HTTPS

  HTTPS的“陷阱”

  如此看来,从HTTP转型HTTPS已是大势所趋。然而据百度安全发布的《HTTPS最佳安全部署实践》显示,截止到3月1日,在全网13288198个网站中,使用HTTPS部署的网站仅占全网的8.2%。

  据业内技术专家分析,不使用HTTPS,主要是成本问题。无论是证书还是流量成本都是阻碍中小企业没有实行部署HTTPS计划的原因。再加上大部分企业都缺乏的网络安全意识,致使国内HTTPS部署缓慢。不过,由于《网络安全法》的颁布,网络安全成为每个企业不可逃脱的责任,再加上一些靠谱的免费证书的发布,选择转型HTTPS的企业将会越来越多。

  可是真的只要进行HTTPS部署,网站就不会面对来自黑客的攻击了吗?《HTTPS最佳安全部署实践》显示,在使用HTTPS的1089693个网站上,有99.19%的网站存在配置或安全问题。

  对此,百度安全专家表示,部署HTTPS不是一件一劳永逸的事情。这些99.19%网站的问题主要体现在两方面。

  首先是证书问题。不少网站使用的证书都存在各种各样的问题,归结起来主要是使用不靠谱的免费证书、不安全的证书签名算法、证书主机名与域名对不上和证书过期等。

  其次是漏洞问题。比如OpenSSL的心脏出血漏洞,攻击者在一个心跳请求中可以获取到服务器进程中最大为64KB的数据,通过发出多个这样的请求,攻击者就可以无限制地获取内存数据。其他的还有OpenSSL CSS注入漏洞、协议降级漏洞、不安全重新协商漏洞等。

  如何给用户的隐私加把锁

  HTTPS已经成为网络的发展趋势,它对信息泄露难题提供了加密功能,用复杂的传输方式降低网站被劫持的风险,有效防止山寨、镜像网站,并且搜索引擎对于HTTPS结果会优先展示。对于站长们所担心的成本问题,目前证书及服务器的支持方案均已成型,所以成本可控。

  以上优点都是HTTPS存在的理由。可是站长应该如何部署安全的HTTPS呢?

  不使用不安全、老旧的SSL/TLS(安全套接层)版本,这就是在用户资料及传输数据在到达目的地前的加密保障,所以绝不可大意;

  部署HSTS,它可以拦截所有与网站进行的不安全的通信,支持HSTS能够大幅度提高网站安全性,所以新网站的站长们最好在设计那一Part的时候就要考虑到它哦;

  在白名单里寻找证书颁发对象(CA),由于任意CA厂商都可以签发证书,这就表示一些不安全的因素的产生,不过好消息是,现在站长们可以强制指定心悦的CA来签发指定的证书!

  今年6月,《网络安全法》将会全面实施,网络安全已经成为上升到国家发展层面上的战略方向,维护网络净土,保护用户隐私安全,也是企业不可推卸的社会责任。在网络安全事件频发的时代,部署HTTPS已是大势所趋。未来的互联网将逐渐呈现为服务交易的闭环链,这需要参与互联网的每一家企业都有网络安全的责任意识。目前国内各大互联网巨头对于HTTPS的部署,更是起了一个风向标的作用。

  声明:本文仅为传递更多网络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页 本文来源:互联网

本文评论
人脸识别、语音交互、VR技术,无人零售不止有这些
前有亚马逊的无人超市,后有淘宝造物节上的“淘咖啡”,无人零售已经开始越来越多地出现...
日期:07-12
AI走近我们 人类会成为失败者吗?
人工智能已经席卷整个科技界,继云计算、物联网、大数据之后,人工智能成为了互联网发展到现在的最...
日期:07-12
“BATJ”的保险圈 谁家欢喜,谁家愁?
互联网的溢出效应正在显现。 日前,蚂蚁金服宣布向保险业开放技术产品“定损宝”,即用AI(人工智能)模拟...
日期:07-12
让人工智能“人性化”:谷歌研究人与AI如何互动
北京时间7月11日上午消息,谷歌正在筹划一个大型研究项目,旨在让人工智能(AI)变得更有用。
日期:07-11
百度DuerOS牵手Vinci智能头机告诉你:什么才是人工智能On-The-GO场景的未来
据悉,2017年7月5日在中国北京国家会议中心举办的Baidu Create 2017百度AI开发者大会上,首次曝光了...
日期:07-07
263移动iMVNO升级为2.0: 虚商也可以玩转物联网
  C114张海龙/文在刚刚结束的MWC上海上,物联网无疑是最为耀眼的明星,运营商、设备商、终端厂商等均...
日期:07-04
无人驾驶、机器人写稿 人工智能有多智能?
在宁波奇点机器人体验馆,机器人正与一位观众现场围棋“对弈”。新华社发
日期:07-04
BAT时代远去 互联网下半场将迎来双极格局
去年7月,美团点评CEO王兴提出了互联网下半场的观点,在他看来,这意味着一个时代的结束,同时也代...
日期:06-28
摩拜单车出海记 接连拿下日本两座城市
橙色的摩拜单车不仅是国内城市的流动风景,而且在国际舞台上崭露头角,2017年上半年,摩拜单车已经...
日期:06-25
没有对比就没有伤害:腾讯“强”迫加班 美图禁止加班!
日前,有网友在微博吐槽腾讯“委婉强迫”员工加班的事。
日期:06-24
VR、3D技术、智能机器人,新技术将给家装带来一场革命
同其他行业的表现一样,技术对于互联网家装的影响开始变得愈加明显。VR、3D技术、智能机器人等一些...
日期:06-24
风口上的狼人杀,要起飞还要看准风向
「这个项目肯定会赚10倍以上,今年的利润就有2个亿。」前段时间今日晟道投资的周年庆典上,昆仑万维...
日期:06-24
少了卡拉尼克的掌舵 Uber未来将驶向何方?
6月24日消息,据国外媒体报道,Uber的投资者用事实对卡拉尼克的掌舵说不。但少了这位创始人,Uber将...
日期:06-24
Uber半年估值损失近200亿美元 Lyft受益
据科技博客TechCrunch北京时间6月23日报道,Uber CEO特拉维斯·卡兰尼克(Travis Kalanick)在...
日期:06-23
Uber最大的问题:商业模式难以建立竞争壁垒
6月22日消息,华尔街日报撰文称,Uber的下一任CEO将面临一个残酷的事实:Uber可能会沦为一家出租车...
日期:06-23
5G时代红利:物联网智能家居、无人驾驶及VR/AR
现在5G成了一个热门话题,5G时代究竟会带来什么,改变什么,有哪些比较显而易见的红利?
日期:06-21
互联网保险下半场鸣哨?商业模式仍在探索中
保监会发改部副主任罗胜认为,互联网保险诞生以来,令人印象深刻的产品创新,主要来自于与网销和旅...
日期:06-20
互联网车企为什么扎堆新能源车?
2014年特斯拉开放专利,算是圆了Elon Musk“人生苦短,恩怨皆休”的心结,但也历史性的推...
日期:06-19
曾经的巨头已掉队 押宝认知计算的IBM胜算几何?
从业多年来,采访过很多IT业外企高管,但是十几年前的那个夏天,与金sir一番交流却让我至今印象深刻...
日期:06-19
2017上半年,我们迎来的那些风口、机会和泡沫
  双创热回归,娱乐抬头,游戏社交,线下新实体,中产焦虑……
日期:06-19