這是一個全https的時代?
Heartbleed動搖了人們對互聯網安全的信心,但是如果沒有這些加密軟件,我們生活的世界會變得比現在更加糟糕。也許我們是時候朝新的方向展望——讓加密無所不在。
大多數大型網站的加密方式無非兩種要麼是SSL,要麼是TLS,兩種安全協議都可以保護用戶的密碼安全和信用卡信息安全,保證信息在個人用戶瀏覽器和服務器之間傳輸時的安全。
鑑別網站是否使用這兩種加密協議,只要看網址開頭是不是HTTPS(比如:沃通CA機構訪問該機構後,站點直接跳轉爲https),如果是,說明網站正在使用SSL協議或TLS協議。但是少數網站,例如Facebook和Gmail,會對全站流量使用加密協議,而並非僅僅對密碼和支付細節使用。
包括Google的內部搜索專家Matt Cutts在內的許多安全領域專家認爲互聯網是時候普及這種全面加密模式了。
Cutts掌管Google的頁面垃圾團隊。他幫助公司調試搜索引擎算法,使特定網站的排名高於其它網站。比如加載更快的網站會優先顯示,而複製甚至剽竊其它站點文本的網站排名會下降。
按照Cutts的算法,Google會優先顯示HTTPS協議網站。如果Google真的採納並實施Cutts的方案,無疑會造成一波HTTPS狂潮,因爲對於網站來說搜索排名就是一切。
Cutts對這個方案的利弊決口不談,但是他說這個方案爭議性很大,Google內部也有反對意見。一位Google發言人只是說目前公司不便透露。看來突然變動的可能性十分小。
擯棄純文本Internet
著名的白帽黑客Moxie Marlinspike是前Twitter工程師,在他的職業生涯中他發現了許多協議中的若干個致命BUG,他還提出瞭解決協議中信任問題和驗證問題的替代性方案,他稱之爲Convergence。他認爲,儘可能在所有地方使用HTTPS協議是有利的。
使用HTTPS時,數據會被編碼。理論上只有你和與你交換信息的服務器能夠讀取信息。
許多大型網站只在用戶登錄或涉及到信用卡信息進行購買時才使用HTTPS協議。而這樣的非常不明智和不安全的做法,這樣的情況被軟件開發者Eric Butler從2012年放出業餘黑客工具FireSheep時開始改變,利用FireSheep用戶可以輕鬆獲取共享網絡裏其他用戶的賬戶——在公共場所提供的Wi-Fi就可以辦到。
Butler也同意更普遍的HTTPS使用會讓安全性更高,他指出HTTP協議會讓政府或罪犯偷窺到用戶的行爲。The Intercept的技術工程師Micah Lee指出HTTPS不應該僅僅被用於保護用戶密碼和其他敏感信息。
HTTPS並不是簡單地對用戶電腦和服務器之間傳遞的信息加密,還會驗證用戶下載的信息是否來自用戶認爲的來源——再次聲明,是理論上。這是一般HTTP協議無法做到的。
