写点什么

Web 是否应该被加密?

  • 2011-08-10
  • 本文字数:1211 字

    阅读完需:约 4 分钟

成立于 1990 年的电子前线基金会是一个非营利组织。它在2010 年6 月发布了HTTPS Everywhere 的beta 测试版。8 月4 日,HTTPS Everywhere 的 1.0 版发布,包括了数百个新加的站点,以及精心制定的从 HTTP 转到 HTTPS 的规则。

HTTPS 现在是互联网安全和隐私保护的基石。它在反“搜索劫持”上起着关键作用。

今年早些时候,两篇论文就指出在一些美国 ISP 中曾出现过的诡异的域名系统(DNS)问题。在这些 ISP 的网络中,有一些指向主要搜索引擎(例如 Bing,Yahoo!以及(有时)Google)的流量被重定向到一些奇怪的第三方代理上。

EFF 高级主任工程师 Peter Eckersley 解释说:

如果没有 HTTPS,你的在线阅读习惯和行为都非常容易被窃听,而且你的账号也非常容易被窃取。Paxfire 的遭遇就是一个很好的例子,它告诉我们事情可能会变得多糟糕。EFF 创建了 HTTPS Everywhere 来帮助用户保护他们的用户名,密码和浏览历史。”

HTTPS Everywhere 1.0 能够加密到 Google 图片搜索、Flickr、Netflix、Apple 以及例如 NPR 和经济学人这样的新闻网站的链接,当然这里面还包括了到数百个银行的链接。HTTPS Everywhere 也同样支持将 Google 搜索、Facebook、Twitter、Hotmail、Wikipedia、纽约时报以及数百个流行网站的链接加密。

EFF Firefox 扩展也能够保护使用 Google、DuckDuckGo 或者 StartingPage 搜索的用户,但是不能保护 Bing 和 Yahoo 用户,因为这些搜索引擎不支持 HTTPS。

Aaron Swartz 表示他已经能够让 HTTPS Everywhere 初步运行在 Chrome 上面了。去年 Dan Kaminsky 写了一篇关于 HTML 5 安全性的文章,以及引用了一些浏览器实现 HTTP 时出现的漏洞:

Robert “RSnake” Hansen 和 Josh Sokel 在 Black Hat 2010 上做了一个题为“ HTTPS 的潜在安全问题”的演讲。他们认为,虽然 HTTP 的连接实际上缺乏像 HTTPS 那样对信息加密的控制能力 - 但是,强悍的 HTTPS 的控制能力却也带来了比预期中的更多麻烦。

Dan 解释说:

  • 如果你的站点有一个万用证书,那么无论主机信息头部是什么样,这个站点都极有可能遭受跨站攻击。
  • 考虑 HTTP 站点的 cookie 能够在 HTTPS 中使用,并且保存路径是固定的,不仅如此,过大的 cookie 将会导致服务器错误,因此一个 HTTP 攻击者可以通过使用大量的 cookie“关闭掉”HTTPS 的某些功能从而迫使用户只使用 HTTP 版本。

Dan 最后总结道:

这些发现最终更加坚定了我对于将站点设置为只接受 SSL 的信念,只有这样,站点才不会被 HTTP 给弄得麻烦缠身。这些混合使用的科技,HTTPS Everywhere,Strict-Transport-Security,以及还未指明的 DNSSEC 强制传输标记,将会变得越来越重要。

刚刚年满20 岁的Web 已经略显疲态,它的核心技术看起来已经不能够应付不断增加的复杂攻击。不断增加的Web API 和大量出现的各种保护Web 协议的伪标准方法也让数据的规模成倍增长,而且已经超出处理能力。Web 是否正在超加密方向发展呢?你将如何应付这种局面?

查看英文原文: Should the Web be Encrypted?

2011-08-10 18:293026
用户头像

发布了 90 篇内容, 共 36.9 次阅读, 收获喜欢 5 次。

关注

评论

发布
暂无评论
发现更多内容

恒源云(GPUSHARE)_可构建AI的「AI」诞生?

恒源云

神经网络 深度学习

使用craco对cra项目进行构建优化

CRMEB

C#中的数据字典Dictionary

Andy阿辉

C# 程序员 程序人生 2月日更

11亿条数据压缩到12GB,TDengine在陕煤矿山项目的落地实践

TDengine

数据库 大数据 tdengine 开源 物联网

构建制品不一致,后续工作都是白费 | 研发效能提升36计

阿里云云效

阿里云 云原生 持续交付 云平台 研发

有了堡垒机,运维工程师们不再是背锅侠啦!

行云管家

微信朋友圈高性能复杂度分析

王大胖

APICloud AVM框架列表组件list-view的使用、flex布局教程

YonBuilder低代码开发平台

前端开发 前端框架 APP开发 APICloud 跨端开发

前端培训:分享web前端面试“区别”题

@零度

前端开发 前端面试

字节、阿里等大厂的技术如何?看看这些Java程序员的自学笔记

进击的王小二

程序员 面试

国内堡垒机品牌你给推荐哪款?我推荐行云管家!

行云管家

效能时代,数栈专属DevOps跑出加速度

袋鼠云数栈

DevOps 智能运维

SAP 移动开发技术综述 | 社区征文

汪子熙

android 移动开发 cordova 新春征文 2月月更

跨站脚本攻击xss利用-beef攻击-演示

喀拉峻

网络安全 XSS

带你读AI论文:NDSS2020 UNICORN: Runtime Provenance-Based Detector

华为云开发者联盟

漏洞 apt APT攻击 UNICONRN 数据来源分析

15倍提升 & 40倍存储优化,TDengine在领益智造的实践

TDengine

数据库 大数据 tdengine 开源 物联网

高性能系统开发的几个手段

漫游指南

性能优化

如何提升本地开发联调效率|阿里巴巴DevOps实践指南

阿里云云效

阿里云 DevOps 云原生 研发 本地开发

恒业资本江一:ToB长期主义不是经营无能的遮羞布

ToB行业头条

java培训:Java堆和栈区分出来的原因

@零度

JAVA开发

Hive往表写入数据的八种方法

编程江湖

Swagger通过拦截器(Interceptor)配置默认请求头

为自己带盐

swagger 2月月更

DDD[1]·区分系统与业务行为

陆乘风

领域驱动设计 领域驱动设计DDD 领域驱动

阿里巴巴移动技术 2021 年终盘点

阿里巴巴终端技术

ios android 客户端 移动应用开发 年终盘点

做到这4点,才是真正的持续交付| 研发效能提升36计

阿里云云效

阿里云 云原生 持续交付 云平台 研发

ClickHouse 在UBA系统中的字典编码优化实践

字节跳动数据平台

大数据 字节跳动 Clickhouse 用户行为分析

云原生时代,软件交付有何不同 | 研发效能提升36计

阿里云云效

阿里云 云原生 持续交付 云平台 研发

使用JMX Exporter监控Rainbond上的Java应用

北京好雨科技有限公司

Lazada 容器深度优化之旅

阿里巴巴终端技术

容器 优化业务 客户端开发 移动应用开发

Spring Boot Serverless 实战系列 | 性能调优

Serverless Devs

springboot Java web 2月月更

react源码解析2.react的设计理念

buchila11

React React Hooks

Web是否应该被加密?_安全_Jean-Jacques Dubray_InfoQ精选文章