安全專家指出��,不論最終用戶所在的網(wǎng)絡(luò)是多么安全����,為了防止出現(xiàn)被“竊聽”的情況,在連接的時間都依然需要啟用安全超文本傳輸協(xié)議(HTTPS)����。
守護(hù)使亞太區(qū)首席技術(shù)官保羅·達(dá)克林提醒公眾和企業(yè)不要對“可信網(wǎng)絡(luò)”概念抱有過多的信心。
“即便單位或者家里的網(wǎng)絡(luò)屬于值得信任的���,數(shù)據(jù)包也需要通過互聯(lián)網(wǎng)進(jìn)行傳輸才能到達(dá)另一端的網(wǎng)站”�����,在接受ZDNet亞洲的電子郵件采訪時�,他解釋說。“對于單獨的互聯(lián)網(wǎng)交易來說��,HTTPS的效果就類似特殊用途的虛擬專用網(wǎng)絡(luò)(VPN)”�。
在一封電子郵件中,賽門鐵克新加坡的系統(tǒng)工程經(jīng)理羅尼·吳指出:“沒有網(wǎng)絡(luò)是完全安全的”�,所有網(wǎng)絡(luò)中的未加密流量都屬于可以被“嗅探”的�。
“從使用者到目標(biāo)網(wǎng)站的過程可能需要路由經(jīng)過多種網(wǎng)絡(luò),在這一過程中上行流量的安全性并不能被確保����,問題的關(guān)鍵依賴于流量通過的通信服務(wù)供應(yīng)商、互聯(lián)網(wǎng)服務(wù)供應(yīng)商或組織網(wǎng)絡(luò)的設(shè)定”��。
不過�,藍(lán)外套公司的技術(shù)傳道者喬納森·安德烈森指出:由于惡意軟件帶來的威脅正在日益復(fù)雜,HTTPS也并不一定能確保絕對安全��。
“【網(wǎng)絡(luò)犯罪分子】可以選擇利用動態(tài)網(wǎng)絡(luò)鏈接來對信任和受保護(hù)位置進(jìn)行攻擊����,”他說�。“通過使用動態(tài)鏈接模式���,網(wǎng)絡(luò)犯罪分子就可以實現(xiàn)對基礎(chǔ)設(shè)施進(jìn)行攻擊的行為�,這一過程中僅僅需要改變的就是惡意軟件的使用位置”����。
“因此,僅僅對數(shù)據(jù)進(jìn)行加密處理���,并不能完全解決動態(tài)惡意軟件帶來的問題�����。”
按照安德烈森的說法����,大多數(shù)電子商務(wù)和社會化服務(wù)網(wǎng)站已經(jīng)啟用了HTTPS�����,為用戶提供額外的安全保障���。他進(jìn)一步補充說�����,在今后的五年里�����,隨著一半以上的企業(yè)選擇部署基于安全套接層(SSL)協(xié)議的應(yīng)用��,在企業(yè)數(shù)據(jù)流量中HTTPS將占據(jù)主導(dǎo)位置���。
但是����,按照專欄作者斯科特·吉爾伯特在本月初發(fā)表文章中的說法����, 盡管HTTPS屬于當(dāng)前可以提供的最安全連接方式�,但網(wǎng)站往往會處于速度和成本方面關(guān)鍵因素的考慮而沒有選擇部署。
引用萬維網(wǎng)聯(lián)盟網(wǎng)絡(luò)服務(wù)活動主管伊夫斯·拉豐的說法�,吉爾伯特解釋了相關(guān)原因。HTTPS不容許緩存的限制會讓整個連接過程變得緩慢�,對于視頻類網(wǎng)站來說,這是一個很大的問題。
在文章中拉豐指出�����,與超文本傳輸協(xié)議(HTTP)相比���,HTTPS在部署和運營方面的花費也更高��,對于小網(wǎng)站來說��,這是一個很關(guān)鍵的問題����,“如果網(wǎng)站突然變得非常流行�,就會出現(xiàn)聚沙成塔的大問題”。
不過����,守護(hù)使的達(dá)克林再次強調(diào),對于包含了與用戶個人信息相關(guān)數(shù)據(jù)的網(wǎng)絡(luò)會話過程來說��,應(yīng)該盡量選擇使用HTTPS�����。
這位IT資深專家指出:“這里說的,不應(yīng)該僅僅是包含用戶名�、密碼和信用卡號碼之類的機密信息,所有讓瀏覽會話與其它人不同的信息都應(yīng)該被包括在內(nèi)�����。舉例來說�����,我賬戶文件中的信息或者電子郵件中的內(nèi)容都屬于這種情況�。”
他警告說,對于所有的連接會話���,包括Facebook和Twitter在內(nèi)的網(wǎng)站都選擇使用一個由服務(wù)器發(fā)送給瀏覽器的秘密“會話cookie”來保存信息��。這樣的話��,直到注銷為止,用戶只需要輸入一次用戶名和密碼����,此類信息必須采用HTTPS進(jìn)行加密處理。
他進(jìn)一步補充說�,否則的話�,網(wǎng)絡(luò)上的其它用戶就有可能竊聽并獲取到用戶的會話cookie����,從而獲得郵件或者推特中的信息,這就是俗稱的“HTTP會話劫持”類黑客攻擊�����。
當(dāng)被問及終端安全技術(shù)是否可以幫助HTTPS將連接安全性進(jìn)一步提高時��,達(dá)克林和賽門鐵克的吳經(jīng)理指出��,被惡意軟件感染的弱終端可能會容許攻擊者查看加密之前的詳細(xì)流量情況�。
藍(lán)外套的安德烈森補充說:“由于確保了加密數(shù)據(jù)的安全,HTTPS為企業(yè)提供了多層次的防御措施���。另一方面��,終端安全工具也不是總可以捕捉到實時威脅;舉例來說���,防病毒工具就可能被用戶禁用”。
盡管所有的三位專家都一致認(rèn)為HTTPS確實屬于安全的網(wǎng)絡(luò)標(biāo)準(zhǔn)�����,但來自賽門鐵克的吳還是指出了一個“漏洞”,可以為網(wǎng)絡(luò)犯罪分子提供幫助����。
“對于惡意的網(wǎng)絡(luò)攻擊者來說,獲得用戶正在訪問的域名也可以帶來幫助”���,他指出����。“互聯(lián)網(wǎng)上當(dāng)前使用的傳輸層安全(TSL)和SSL之類的安全協(xié)議對這方面沒有足夠的重視����。從這一意義上來說,HTTPS的應(yīng)用是比較有限�����。”
