写点什么

Web 是否应该被加密?

  • 2011-08-10
  • 本文字数:1211 字

    阅读完需:约 4 分钟

成立于 1990 年的电子前线基金会是一个非营利组织。它在2010 年6 月发布了HTTPS Everywhere 的beta 测试版。8 月4 日,HTTPS Everywhere 的 1.0 版发布,包括了数百个新加的站点,以及精心制定的从 HTTP 转到 HTTPS 的规则。

HTTPS 现在是互联网安全和隐私保护的基石。它在反“搜索劫持”上起着关键作用。

今年早些时候,两篇论文就指出在一些美国 ISP 中曾出现过的诡异的域名系统(DNS)问题。在这些 ISP 的网络中,有一些指向主要搜索引擎(例如 Bing,Yahoo!以及(有时)Google)的流量被重定向到一些奇怪的第三方代理上。

EFF 高级主任工程师 Peter Eckersley 解释说:

如果没有 HTTPS,你的在线阅读习惯和行为都非常容易被窃听,而且你的账号也非常容易被窃取。Paxfire 的遭遇就是一个很好的例子,它告诉我们事情可能会变得多糟糕。EFF 创建了 HTTPS Everywhere 来帮助用户保护他们的用户名,密码和浏览历史。”

HTTPS Everywhere 1.0 能够加密到 Google 图片搜索、Flickr、Netflix、Apple 以及例如 NPR 和经济学人这样的新闻网站的链接,当然这里面还包括了到数百个银行的链接。HTTPS Everywhere 也同样支持将 Google 搜索、Facebook、Twitter、Hotmail、Wikipedia、纽约时报以及数百个流行网站的链接加密。

EFF Firefox 扩展也能够保护使用 Google、DuckDuckGo 或者 StartingPage 搜索的用户,但是不能保护 Bing 和 Yahoo 用户,因为这些搜索引擎不支持 HTTPS。

Aaron Swartz 表示他已经能够让 HTTPS Everywhere 初步运行在 Chrome 上面了。去年 Dan Kaminsky 写了一篇关于 HTML 5 安全性的文章,以及引用了一些浏览器实现 HTTP 时出现的漏洞:

Robert “RSnake” Hansen 和 Josh Sokel 在 Black Hat 2010 上做了一个题为“ HTTPS 的潜在安全问题”的演讲。他们认为,虽然 HTTP 的连接实际上缺乏像 HTTPS 那样对信息加密的控制能力 - 但是,强悍的 HTTPS 的控制能力却也带来了比预期中的更多麻烦。

Dan 解释说:

  • 如果你的站点有一个万用证书,那么无论主机信息头部是什么样,这个站点都极有可能遭受跨站攻击。
  • 考虑 HTTP 站点的 cookie 能够在 HTTPS 中使用,并且保存路径是固定的,不仅如此,过大的 cookie 将会导致服务器错误,因此一个 HTTP 攻击者可以通过使用大量的 cookie“关闭掉”HTTPS 的某些功能从而迫使用户只使用 HTTP 版本。

Dan 最后总结道:

这些发现最终更加坚定了我对于将站点设置为只接受 SSL 的信念,只有这样,站点才不会被 HTTP 给弄得麻烦缠身。这些混合使用的科技,HTTPS Everywhere,Strict-Transport-Security,以及还未指明的 DNSSEC 强制传输标记,将会变得越来越重要。

刚刚年满20 岁的Web 已经略显疲态,它的核心技术看起来已经不能够应付不断增加的复杂攻击。不断增加的Web API 和大量出现的各种保护Web 协议的伪标准方法也让数据的规模成倍增长,而且已经超出处理能力。Web 是否正在超加密方向发展呢?你将如何应付这种局面?

查看英文原文: Should the Web be Encrypted?

2011-08-10 18:293099
用户头像

发布了 90 篇内容, 共 37.7 次阅读, 收获喜欢 5 次。

关注

评论

发布
暂无评论
发现更多内容

JavaScript进阶(二)上

Augus

JavaScript 9月日更

GitHub获120w+star的JDK源码剖析手册,竟出自Alibaba高管之手?

Java 程序员 架构 面试 Alibaba

NoCode 实战 | 零代码开发:轻松打造会议计划系统!

亚马逊云科技 (Amazon Web Services)

html

数字人民币,支付机构的机会在哪?

CECBC

GitHub上120K Stars!被誉为国内第一的Java多线程PDF到底有什么魅力?

Java GitHub 程序员 面试 计算机

实时数据引擎系列(五): 关于 SQL Server 与 SQL Server CDC

tapdata

Flutter IM跨端架构设计和实现

OpenIM

北鲲云超算平台为何能够被高性能计算行业认可?

北鲲云

NoCode 实战 | 想要开发在线选课系统?何必那样大费周章!

亚马逊云科技 (Amazon Web Services)

html html5

国内独家首发版本!龙蜥操作系统(Anolis OS) 8.4 正式发行!

OpenAnolis小助手

Linux centos 开源 开源社区

计算机网络学习笔记 概述

Regan Yue

计算机网络 9月日更 计网

2021全球高性能云计算创新大赛,9月15日重磅启动!

亚马逊云科技 (Amazon Web Services)

云计算

京东内部“绝密”SpringCloud实战手册,GitHub列为首推

Java 程序员 架构 面试 计算机

NoCode 热身系列:你准备好了吗?

亚马逊云科技 (Amazon Web Services)

人工智能 数据库

NoCode 热身系列:实现一个任务跟踪与管理系统(下)

亚马逊云科技 (Amazon Web Services)

ios android 数据库

2022高频前端面试题汇总之React篇

buchila11

React

Filecoin算力矿池挖矿系统开发案例

薇電13242772558

区块链 IPFS

NoCode 热身系列:实现一个任务跟踪与管理系统(上)

亚马逊云科技 (Amazon Web Services)

html 自动驾驶 ios

AI应用说 | 「虫口夺粮」的害虫识别还是牛场24小时无人监控,AI+农业话题咱们唠一唠

百度大脑

NoCode 实战 | 零代码应用开发,轻松搞定任务跟踪管理难题(上)

亚马逊云科技 (Amazon Web Services)

人工智能 android

记一次Linux安全提权总结

网络安全学海

Linux 网络安全 信息安全 渗透测试 WEB安全

9 个前端性能优化的最佳实践

devpoint

CSS CDN 9月日更

跨语言编程的探索 | 龙蜥技术

OpenAnolis小助手

Java c++ 开源社区

中原银行分布式批处理调度平台介绍

中原银行

分布式 批处理 中原银行

全国基于区块链数据知识产权质押贷款落地杭州

CECBC

如何获取系统错误报告--Bug Report

Changing Lin

9月日更

一文揭示,DevOps与企业数字化究竟有何联系?

飞算JavaAI开发助手

DevOps 自动化 软件工程

云备份和恢复的优缺点

云计算

NoCode 实战 | 零代码应用开发,轻松搞定任务跟踪管理难题(下)

亚马逊云科技 (Amazon Web Services)

Java 人工智能

名震Java界!字节跳动内部顶级数据结构刷题学习笔记根本停不下来

Java 程序员 架构 面试 计算机

Nocode 进阶 | 迎接 Amazon Honeycode,敲开 NoCode 开发大门(上)

亚马逊云科技 (Amazon Web Services)

人工智能 大前端

Web是否应该被加密?_安全_Jean-Jacques Dubray_InfoQ精选文章