网页安全路迢迢 各大网站应尽快导入SSL/TLS

日期: 2010-11-16 来源:TechTarget中国

  最近在网站上非常热门的FireFox扩充软件Firesheep,很可能被用来当成黑客工具。该程序的作者表示,之所以设计这个软件,并非用来盗取个人资料,而是想借由这个软件,呼吁各大网站重视用户浏览网页的安全。

  网络使用者在媒体的长期教育下,已经知道如何保护自己不被Firesheep这样的软件攻击,或是知道如何安全使用无线网络。但对于网站管理员来说,目前仍看不到有什么具体的行动让网站本身更安全。

  在Google网络论坛上的Firesheep讨论区中,有大概143则讨论,大部分都是关于技术支持的问题,却从来没有一个网站管理者询问如何在网站导入TLS或SSL,以让网站更安全。

  根据AccessNow针对前100大网站所做的分析显示,只有一个网站正确使用TLS/SSL安全机制,那就是PayPal。也就是说使用者从登入PayPal到完成结帐手续离开的整个过程中,使用者的个人资料都有被加密,有效保障资料的安全。

  至于其他网站则有可能让你的个人资料暴露在Firesheep的安全威胁下,除非使用者安装其他FireFox的扩充套件像是HTTPS Everywhere或Force TLS。否则将无法保证使用者在浏览每个网页时,资料都有被加密不被盗取。

  AccessNow的报告中指出,只有Adobe、Hotfile、Mozilla与GoDaddy这些网站可以让你手动保护所有的网站使用安全。而其他热门网站象是Google、Facebook以及YouTube,即使是使用者自行使用安全保护措施,仍无法保证所有的网页浏览都是在安全的情况下。

  大部分的热门网站,像是搜索引擎百度、维基百科以及不同国家及地区版本的Google,如Google印度及Google香港,都不提供加密链接的保护。以Google为例,如果你在某国家的Google强制使用安全链接,Google将会直接把你导向不加密的Google美国站点。

  如果连热门网站都无法确保网站的安全,那广大的使用者又能做些什么来保护自己呢?AccessNow建议签署请愿书给这些全球前百大热门网站的CEO,强调使用者对于网络使用安全的渴求,并要求这些网站立即在所有网页中安装HTTPS。

  也许联署请愿的方式并无法获得立即的成效,但仍值得一试。笔者也曾见过在用户因为浏览某些网页而被其他Firesheep使用者窃取重要的个人资料后,该网站开始导入自动安全连接。也许等到有一天,这样的安全问题扩大,甚至导致网站被告的时候,他们就会乖乖的建置网站安全措施。

  原文出处:http://www.cnetnews.com.cn/2010/1116/1940846.shtml

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐