写点什么

Web 是否应该被加密?

  • 2011-08-10
  • 本文字数:1211 字

    阅读完需:约 4 分钟

成立于 1990 年的电子前线基金会是一个非营利组织。它在2010 年6 月发布了HTTPS Everywhere 的beta 测试版。8 月4 日,HTTPS Everywhere 的 1.0 版发布,包括了数百个新加的站点,以及精心制定的从 HTTP 转到 HTTPS 的规则。

HTTPS 现在是互联网安全和隐私保护的基石。它在反“搜索劫持”上起着关键作用。

今年早些时候,两篇论文就指出在一些美国 ISP 中曾出现过的诡异的域名系统(DNS)问题。在这些 ISP 的网络中,有一些指向主要搜索引擎(例如 Bing,Yahoo!以及(有时)Google)的流量被重定向到一些奇怪的第三方代理上。

EFF 高级主任工程师 Peter Eckersley 解释说:

如果没有 HTTPS,你的在线阅读习惯和行为都非常容易被窃听,而且你的账号也非常容易被窃取。Paxfire 的遭遇就是一个很好的例子,它告诉我们事情可能会变得多糟糕。EFF 创建了 HTTPS Everywhere 来帮助用户保护他们的用户名,密码和浏览历史。”

HTTPS Everywhere 1.0 能够加密到 Google 图片搜索、Flickr、Netflix、Apple 以及例如 NPR 和经济学人这样的新闻网站的链接,当然这里面还包括了到数百个银行的链接。HTTPS Everywhere 也同样支持将 Google 搜索、Facebook、Twitter、Hotmail、Wikipedia、纽约时报以及数百个流行网站的链接加密。

EFF Firefox 扩展也能够保护使用 Google、DuckDuckGo 或者 StartingPage 搜索的用户,但是不能保护 Bing 和 Yahoo 用户,因为这些搜索引擎不支持 HTTPS。

Aaron Swartz 表示他已经能够让 HTTPS Everywhere 初步运行在 Chrome 上面了。去年 Dan Kaminsky 写了一篇关于 HTML 5 安全性的文章,以及引用了一些浏览器实现 HTTP 时出现的漏洞:

Robert “RSnake” Hansen 和 Josh Sokel 在 Black Hat 2010 上做了一个题为“ HTTPS 的潜在安全问题”的演讲。他们认为,虽然 HTTP 的连接实际上缺乏像 HTTPS 那样对信息加密的控制能力 - 但是,强悍的 HTTPS 的控制能力却也带来了比预期中的更多麻烦。

Dan 解释说:

  • 如果你的站点有一个万用证书,那么无论主机信息头部是什么样,这个站点都极有可能遭受跨站攻击。
  • 考虑 HTTP 站点的 cookie 能够在 HTTPS 中使用,并且保存路径是固定的,不仅如此,过大的 cookie 将会导致服务器错误,因此一个 HTTP 攻击者可以通过使用大量的 cookie“关闭掉”HTTPS 的某些功能从而迫使用户只使用 HTTP 版本。

Dan 最后总结道:

这些发现最终更加坚定了我对于将站点设置为只接受 SSL 的信念,只有这样,站点才不会被 HTTP 给弄得麻烦缠身。这些混合使用的科技,HTTPS Everywhere,Strict-Transport-Security,以及还未指明的 DNSSEC 强制传输标记,将会变得越来越重要。

刚刚年满20 岁的Web 已经略显疲态,它的核心技术看起来已经不能够应付不断增加的复杂攻击。不断增加的Web API 和大量出现的各种保护Web 协议的伪标准方法也让数据的规模成倍增长,而且已经超出处理能力。Web 是否正在超加密方向发展呢?你将如何应付这种局面?

查看英文原文: Should the Web be Encrypted?

2011-08-10 18:292790
用户头像

发布了 90 篇内容, 共 34.0 次阅读, 收获喜欢 5 次。

关注

评论

发布
暂无评论
发现更多内容

远程触发Jenkins的Pipeline任务

程序员欣宸

jenkins 11月月更 pipiline

明道云Sales Playbook开源版正式发布

明道云

【Python 基础学习】-流程控制

度假的小鱼

11月月更 Python流程控制

在线电子表格,助力数据分析人员高效办公

流量猫猫头

大数据

解密金融行业数据云平台建设密码

数造万象

LigaAI X 猴子无限 | AIGC火了,人类又得到了什么?

LigaAI

分布式 大模型训练 研发协作平台 AIGC 大规模离散模型

HDC 2022 开发者主题演讲与技术分论坛干货分享(附课件)

HarmonyOS开发者

HarmonyOS

阿里云液冷技术荣获CDCC数据中心科技成果一等奖

云布道师

阿里云 基础设施建设

个推发布《Android13适配指南》,解读Android13新特性

个推

android 安卓 安卓开发

EMR-StarRocks 与 Flink 在汇量实时写入场景的最佳实践

阿里云大数据AI技术

数据库 flink EMR 十一月月更

第三章热备份路由选择协议(HSRP)

初学者

网络 11月月更

工业物联网DCS和SCADA的区别

2D3D前端可视化开发

物联网 DCS web组态软件 SCADA 工业组态

2022年11月《中国数据库行业分析报告》重磅发布!精彩抢先看

墨天轮

人工智能 数据库 dba 智能运维 国产数据库

助力教育信创快速发展,统信软件与山东四所高校建立信创应用重点实验室

统信软件

软件 操作系统 教育 信创产业 教育新创

统一移动办公门户,满足政企高效安全协作需求

WorkPlus

普惠联接,让人类诗意地栖居在大地上

脑极体

数据治理必读|基于Dataphin,快速建设高质量数据支撑业务发展

瓴羊企业智能服务

手把手教你成为荣耀开发者:商户服务开通指南

荣耀开发者服务平台

android 开发者 手机 荣耀 honor

完全解析大数据的高可用集群部署

好程序员IT教育

大数据

跬智信息 (Kyligence) 荣获信创“大比武”重要奖项,坚持做大做实国产软件

Kyligence

数据库 数据分析 云平台技术

华为云会议AI智能降噪3.0,可抑制200种噪声!

科技之光

破坏系统是为了更稳定?混沌工程在去哪儿的4个阶段实践

TakinTalks稳定性社区

混沌工程 故障治理

案例 | 九科信息为某大型企业设计社保公积金自动缴存解决方案

九科Ninetech

超详细图文保姆级教程:App开发新手入门(一)

YonBuilder低代码开发平台

开发者 App 新手入门

推荐5款IDEA插件,堪称代码质量检查利器!

程序员小毕

Java 程序员 程序人生 后端 IDEA

CSS 基础属性篇组成及作用

千锋IT教育

几类主流的虚拟化技术

穿过生命散发芬芳

虚拟化技术 11月月更

提升汽车APP用户体验,火山引擎APMPlus的“独家秘笈”

字节跳动终端技术

性能监控 APP开发 应用性能 火山引擎 APMPlus

Baklib知识库|为什么知识共享工具对减少内部知识缺口至关重要

Baklib

知识

一发一存一消费,跟着p8大佬深入学习Java中间件技术及其应用开发

钟奕礼

Java 程序员 java面试 java编程

WorkPlus即时通讯APP,提供智能化、多场景的IM系统解决方案

WorkPlus

Web是否应该被加密?_安全_Jean-Jacques Dubray_InfoQ精选文章