近日,蘋果iCloud服務器在中國被人使用SSL中間人劫持,部分地區用戶隱私恐將不保。據瞭解,蘋果iCloud網站有多個IP地址,若用戶訪問蘋果iCloud時被隨機分配到23.59.94.46這一IP地址,又忽視了網頁安全警告,輸入到iCloud的用戶名和密碼都會被製造自簽證書的中間人拿到,存儲在iCloud的私房照片、鑰匙圈裏的各種帳號、密碼都會被別人偷走,前不久,好萊塢“***門”就是******明星們的iCloud賬戶引起的。
在此,沃通CA提醒用戶,在使用雲服務時牢記以下幾點,防範隱私被泄露!
1、 遇到“網站安全證書不受信任”的瀏覽器警告,請勿繼續訪問!
過去,由於國內網站運營者的安全意識薄弱,多數網站爲節省費用,採用不受瀏覽器信任的自簽名SSL證書,自簽證書氾濫成災。安裝自簽證書的網站頻繁報錯,導致中國用戶在使用過程中,養成了一個非常不安全的習慣,就是當瀏覽器提示“網站安全證書不受信任”時,不自覺地就點擊“繼續瀏覽”。
此次iCloud用戶信息泄露,正是因爲忽視了網頁安全警告,繼續登錄使用,讓SSL中間人有了可乘之機。筆者提醒您,在使用雲服務、網上銀行、網上支付等網絡應用時,遇到“網站安全證書不受信任”的警告,絕對不能繼續登錄使用、輸入賬號密碼等。
不同的瀏覽器會提示不同的安全警告語,以下是各瀏覽器對iCloud的安全警告。
圖一:IE 瀏覽器對iCloud的安全警告圖
圖二:火狐瀏覽器對iCloud的安全警告圖
圖三:360瀏覽器對iCloud的安全警告圖
圖四:chrome瀏覽器對iCloud的安全警告圖
圖五:Safari瀏覽器對iCloud的安全警告圖
2、一定要選擇使用了SSL證書的雲服務
雲服務、網上銀行、網上支付等重要的網絡應用服務,一定要選擇使用SSL證書的網站。用了SSL證書不也被中間人***嗎?但如果沒有用SSL證書加密的應用服務,根本無需中間人***,隱私信息直接“裸奔”了,任何人都能截獲。
爲了維護品牌形象和用戶數據安全,建議網絡應用服務提供商一定要部署全球信任的SSL證書,通過SSL加密保證用戶數據安全,通過SSL認證,防釣魚網站仿冒。不要與欺詐網站爲伍,採用不受信任的自簽證書,網站長期被瀏覽器報錯,影響品牌形象,並給SSL中間人大開後門。
爲了讓更多網站能實現SSL加密,筆者已推出一款全球信任的免費SSL證書,支持所有瀏覽器和主流移動終端,還可不限次數地免費續簽,相當於永久免費,讓所有的網站都能零成本保網站安全,根本無需使用自簽證書。同時,筆者也提供收費SSL證書,爲安全需求更高的網站,提供更高安全級別的防護,如顯示綠色地址欄和中文單位名稱等。
3、重要的數據文件,使用PDF文件加密證書,簽名加密後再上傳到雲服務。
目前大部分雲服務不提供安全存儲服務,而少數使用簡單的自編算法加密,防護作用也不大。用戶如何保證自己的機密文件安全的存在雲服務器上?求人不如求己,筆者給您支妙招。您只要申請一張PDF文件加密證書,將機密文件轉成PDF格式後簽名加密,那這份文件無論放在哪裏,都沒有人能竊取了。因爲內容是密文,竊取了也沒用,2048位公鑰加密根本無法破解。同樣,選擇PDF文件加密證書時,也應選擇受Adobe信任的證書。
4、 倡導各大雲服務網站,使用客戶端證書登錄
比爾·蓋茨曾表示,口令密碼登錄方式將很快成爲歷史。數字證書登錄方式,將成爲未來的趨勢,採用數字證書登錄雲服務,可以避免口令密碼太脆弱、易破解、容易被泄露的安全問題。但由於客戶端證書申請、驗證、安裝等方面的易用性存在問題,導致客戶端證書登錄的方式尚未普及應用。針對這些問題,筆者提出個性定製客戶端證書的服務,根據證書的使用場景自定義證書字段,簡化申請、驗證流程,更加方便、快捷、安全。倡導各大雲服務網站,採用客戶端證書登錄方式,爲客戶提供一個更安全的登錄途徑,保障用戶數據安全。
結語
***總書記提出了“沒有網絡安全就沒有國家安全”的概念,同樣的“沒有網絡安全,就沒有個人隱私安全”。在大數據時代,任何看似不重要的信息數據,都可能泄露您的隱私信息。無論是網絡服務提供商還是用戶,都應提供信息安全意識,讓以販賣隱私爲生的不法者無機可乘!