AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

Web 是否应该被加密?

  • 2011-08-10
  • 本文字数:1211 字

    阅读完需:约 4 分钟

成立于 1990 年的电子前线基金会是一个非营利组织。它在2010 年6 月发布了HTTPS Everywhere 的beta 测试版。8 月4 日,HTTPS Everywhere 的 1.0 版发布,包括了数百个新加的站点,以及精心制定的从 HTTP 转到 HTTPS 的规则。

HTTPS 现在是互联网安全和隐私保护的基石。它在反“搜索劫持”上起着关键作用。

今年早些时候,两篇论文就指出在一些美国 ISP 中曾出现过的诡异的域名系统(DNS)问题。在这些 ISP 的网络中,有一些指向主要搜索引擎(例如 Bing,Yahoo!以及(有时)Google)的流量被重定向到一些奇怪的第三方代理上。

EFF 高级主任工程师 Peter Eckersley 解释说:

如果没有 HTTPS,你的在线阅读习惯和行为都非常容易被窃听,而且你的账号也非常容易被窃取。Paxfire 的遭遇就是一个很好的例子,它告诉我们事情可能会变得多糟糕。EFF 创建了 HTTPS Everywhere 来帮助用户保护他们的用户名,密码和浏览历史。”

HTTPS Everywhere 1.0 能够加密到 Google 图片搜索、Flickr、Netflix、Apple 以及例如 NPR 和经济学人这样的新闻网站的链接,当然这里面还包括了到数百个银行的链接。HTTPS Everywhere 也同样支持将 Google 搜索、Facebook、Twitter、Hotmail、Wikipedia、纽约时报以及数百个流行网站的链接加密。

EFF Firefox 扩展也能够保护使用 Google、DuckDuckGo 或者 StartingPage 搜索的用户,但是不能保护 Bing 和 Yahoo 用户,因为这些搜索引擎不支持 HTTPS。

Aaron Swartz 表示他已经能够让 HTTPS Everywhere 初步运行在 Chrome 上面了。去年 Dan Kaminsky 写了一篇关于 HTML 5 安全性的文章,以及引用了一些浏览器实现 HTTP 时出现的漏洞:

Robert “RSnake” Hansen 和 Josh Sokel 在 Black Hat 2010 上做了一个题为“ HTTPS 的潜在安全问题”的演讲。他们认为,虽然 HTTP 的连接实际上缺乏像 HTTPS 那样对信息加密的控制能力 - 但是,强悍的 HTTPS 的控制能力却也带来了比预期中的更多麻烦。

Dan 解释说:

  • 如果你的站点有一个万用证书,那么无论主机信息头部是什么样,这个站点都极有可能遭受跨站攻击。
  • 考虑 HTTP 站点的 cookie 能够在 HTTPS 中使用,并且保存路径是固定的,不仅如此,过大的 cookie 将会导致服务器错误,因此一个 HTTP 攻击者可以通过使用大量的 cookie“关闭掉”HTTPS 的某些功能从而迫使用户只使用 HTTP 版本。

Dan 最后总结道:

这些发现最终更加坚定了我对于将站点设置为只接受 SSL 的信念,只有这样,站点才不会被 HTTP 给弄得麻烦缠身。这些混合使用的科技,HTTPS Everywhere,Strict-Transport-Security,以及还未指明的 DNSSEC 强制传输标记,将会变得越来越重要。

刚刚年满20 岁的Web 已经略显疲态,它的核心技术看起来已经不能够应付不断增加的复杂攻击。不断增加的Web API 和大量出现的各种保护Web 协议的伪标准方法也让数据的规模成倍增长,而且已经超出处理能力。Web 是否正在超加密方向发展呢?你将如何应付这种局面?

查看英文原文: Should the Web be Encrypted?

2011-08-10 18:292940
用户头像

发布了 90 篇内容, 共 35.9 次阅读, 收获喜欢 5 次。

关注

评论

发布
暂无评论
发现更多内容

聊聊我对技术一些性质的认识

Tanzv

技术 思考 新人

严选合伙人(二)

Neco.W

创业 重新理解创业 合伙人

让你高效工作与学习的免费工具(1)

石云升

高效工作 效率工具 工具

对于程序员,那些既陌生又熟悉的计算机硬件

架构师修行之路

微软 编程 程序员 cpu 架构师

设计模式之观察者模式

设计模式

回“疫”录(18):536公里的路

小天同学

疫情 回忆录 现实纪录 纪实 返程

谈谈控制感(5):怎么破控制感损失的局

史方远

职场 心理 成长

Xtrabackup的安装使用

一个有志气的DB

MySQL 工具 数据的分片和备份

《后浪》产品经理篇(恶搞版)

静陌

产品经理 后浪

MySQL常用权限说明

一个有志气的DB

MySQL 用户研究

Harbor 2.0的飞跃: OCI 兼容的工件仓库

亨利笔记

Kubernetes 容器 k8s Harbor 镜像

《零基础学 Java》 FAQ 之 7-Java 中的内存是怎么分配的

臧萌

Java JVM

OpenResty部署配置和日志切割

wong

nginx centos openresty

Mac 使用笔记

FeiLong

Rust 与区块链四月月刊

Aimee 阿敏

区块链 rust 加密货币 crypto

Java新技术:封闭类

X.F

Java 架构 编程语言

Android | Tangram动态页面之路(二)介绍

哈利迪

android

sync.Map源码分析

陈思敏捷

源码 源码分析 Go 语言

尽管HTTP/3已经来了,HTTP/2也得了解啊

清远

网络协议 HTTP

Python 核心技术与进阶 list & tuple

Bonaparte

松哥手把手带你入门 Spring Security,别再问密码怎么解密了

江南一点雨

Java spring Spring Boot spring security

松哥手把手教你定制 Spring Security 中的表单登录

江南一点雨

Java spring Spring Boot spring security

如果你觉得学习 Git 很枯燥,那是因为你还没玩过这款游戏!

GitHubDaily

git GitHub 编程 程序员 开发者工具

Redis稳定性实践

心平气和

redis 缓存 稳定性

更聪明地学习,而不是苦读——《如何高效学习》

mzlogin

学习

业余前端的日常

顿晓

学习 大前端 日常 专家 知识体系

游戏夜读 | Scikit-learn迎来0.21之前

game1night

从一次排查ES线上问题得出的总结——熔断机制

罗琦

elasticsearch 源码分析 circuit break 熔断

如何在一台计算机上安装多个 JDK 版本

mghio

Java jdk 版本管理工具

面试官:小伙子,听说你看过ThreadLocal源码?(万字图文深度解析ThreadLocal)

一枝花算不算浪漫

源码 并发编程 ThreadLocal

一文带你看清HTTP所有概念

苹果看辽宁体育

HTTP

Web是否应该被加密?_安全_Jean-Jacques Dubray_InfoQ精选文章