GMTC北京站两周后开幕,58个议题全部上线,点击查看 了解详情
写点什么

Web 是否应该被加密?

2011 年 8 月 10 日

成立于 1990 年的电子前线基金会是一个非营利组织。它在2010 年6 月发布了HTTPS Everywhere 的beta 测试版。8 月4 日,HTTPS Everywhere 的 1.0 版发布,包括了数百个新加的站点,以及精心制定的从 HTTP 转到 HTTPS 的规则。

HTTPS 现在是互联网安全和隐私保护的基石。它在反“搜索劫持”上起着关键作用。

今年早些时候,两篇论文就指出在一些美国 ISP 中曾出现过的诡异的域名系统(DNS)问题。在这些 ISP 的网络中,有一些指向主要搜索引擎(例如 Bing,Yahoo!以及(有时)Google)的流量被重定向到一些奇怪的第三方代理上。

EFF 高级主任工程师 Peter Eckersley 解释说:

如果没有 HTTPS,你的在线阅读习惯和行为都非常容易被窃听,而且你的账号也非常容易被窃取。Paxfire 的遭遇就是一个很好的例子,它告诉我们事情可能会变得多糟糕。EFF 创建了 HTTPS Everywhere 来帮助用户保护他们的用户名,密码和浏览历史。”

HTTPS Everywhere 1.0 能够加密到 Google 图片搜索、Flickr、Netflix、Apple 以及例如 NPR 和经济学人这样的新闻网站的链接,当然这里面还包括了到数百个银行的链接。HTTPS Everywhere 也同样支持将 Google 搜索、Facebook、Twitter、Hotmail、Wikipedia、纽约时报以及数百个流行网站的链接加密。

EFF Firefox 扩展也能够保护使用 Google、DuckDuckGo 或者 StartingPage 搜索的用户,但是不能保护 Bing 和 Yahoo 用户,因为这些搜索引擎不支持 HTTPS。

Aaron Swartz 表示他已经能够让 HTTPS Everywhere 初步运行在 Chrome 上面了。去年 Dan Kaminsky 写了一篇关于 HTML 5 安全性的文章,以及引用了一些浏览器实现 HTTP 时出现的漏洞:

Robert “RSnake” Hansen 和 Josh Sokel 在 Black Hat 2010 上做了一个题为“ HTTPS 的潜在安全问题”的演讲。他们认为,虽然 HTTP 的连接实际上缺乏像 HTTPS 那样对信息加密的控制能力 - 但是,强悍的 HTTPS 的控制能力却也带来了比预期中的更多麻烦。

Dan 解释说:

  • 如果你的站点有一个万用证书,那么无论主机信息头部是什么样,这个站点都极有可能遭受跨站攻击。
  • 考虑 HTTP 站点的 cookie 能够在 HTTPS 中使用,并且保存路径是固定的,不仅如此,过大的 cookie 将会导致服务器错误,因此一个 HTTP 攻击者可以通过使用大量的 cookie“关闭掉”HTTPS 的某些功能从而迫使用户只使用 HTTP 版本。

Dan 最后总结道:

这些发现最终更加坚定了我对于将站点设置为只接受 SSL 的信念,只有这样,站点才不会被 HTTP 给弄得麻烦缠身。这些混合使用的科技,HTTPS Everywhere,Strict-Transport-Security,以及还未指明的 DNSSEC 强制传输标记,将会变得越来越重要。

刚刚年满20 岁的Web 已经略显疲态,它的核心技术看起来已经不能够应付不断增加的复杂攻击。不断增加的Web API 和大量出现的各种保护Web 协议的伪标准方法也让数据的规模成倍增长,而且已经超出处理能力。Web 是否正在超加密方向发展呢?你将如何应付这种局面?

查看英文原文: Should the Web be Encrypted?

2011 年 8 月 10 日 18:292386
用户头像

发布了 90 篇内容, 共 28.6 次阅读, 收获喜欢 1 次。

关注

评论

发布
暂无评论
发现更多内容

技术管理简单说

Daniel

技术管理 6月日更 6 月日更

公司战略:要不要多元化发展?

石云升

创业 职场经验 6月日更

膜拜!首次公布Java10W字面经,Github访问量破百万

云流

Java 程序员 架构 面试

双非本科七面成功入职阿里面经分享!(附面试原题+复盘笔记)

Java王路飞

Java 程序员 架构 面试 分布式

【脚本小子狂喜】日常实用脚本推荐

Machine Gun

网络安全 信息安全 渗透测试 脚本

【云原生AI】Fluid + JindoFS 助力微博海量小文件模型训练速度提升 18 倍

阿里巴巴云原生

腾讯云大神亲码“redis深度笔记”,不讲一句废话,全是精华

菜菜山

Java redis 架构 面试

区块链+印章,区块链技术的长期潜力正在释放

CECBC区块链专委会

你知道 Redis 可以实现延迟队列吗?

xcbeyond

队列 延迟队列 6月日更

Linux网络编程-UDP和TCP协议详解

Linux服务器开发

TCP 网络编程 udp 网络协议栈 Linux服务器开发

17:为什么说海澜之家是“男人的货仓”和“服装的搬运工”?

punkboy

品牌 电商 电商平台 服装行业 男友力

难倒无数程序员的ThreadLocal原理,就这样被美团大牛轻松讲透彻

java专业爱好者

Java ThreadLocal

Java面试很难?啃完阿里老哥这套Java架构速成笔记,我都能拿30K

Crud的程序员

Java 编程 架构

阿里又一个“逆天”容器框架!这本Kubernetes进阶手册简直太全了

Crud的程序员

Kubernetes 容器

区块链与物联网的强强联合将带来巨变

CECBC区块链专委会

2017-2020(4周年)读书年度总结及书单

punkboy

书单 书单推荐 推荐书单 程序员书单

宏碁亮相2021西洽会,以绿色智能“洽谈未来”

科技热闻

直呼内行!阿里大佬离职带出内网专属“高并发系统设计”学习笔记

云流

Java 程序员 架构 面试

C/C++学习:C++并发与多线程

奔着腾讯去

c++ 并发 多线程并发 POSIX线程 C++11线程

从天而降的AI“青云梯”,开发者们准备好了吗?

脑极体

(内含福利)不想成为咸鱼,我们怎样找到自己的未来之路呢?

刘华Kenneth

招聘 职场成长 云技术

不惧面试:HTTP协议(一)基础扫盲

悟空聊架构

面试 HTTP post GET 6 月日更

嵌入式工作流程开发!详细分析工作流Activiti框架中子流程的使用

攻城狮Chova

Activiti 6 月日更 子流程

Golang Profiling: 关于 pprof

hedzr

go profiling

微博评论高性能高可用计算架构设计

Lane

美团、字节、腾讯、阿里最新面经出炉!自曝备战半月的刷题手册与面试复盘笔记!

程序员小毕

Java 程序员 架构 面试 分布式

第一次凡尔赛,字节跳动3面+腾讯6面一次过,原来大厂的面试也没有想象中的那么难

菜菜山

Java 程序员 架构 面试

15:需求沟通的灵魂拷问:人与人之间的信任呢?

punkboy

需求管理 需求 需求落地 信任 信任机制

16:阿里、京东、美团、电通等电商行业营销模型汇总

punkboy

营销 模型 市场营销 营销数字化 电商营销

Pandas之:Pandas简洁教程

程序那些事

Python 数据分析 pandas 程序那些事 大数据分析

戏说代理模式

编程三昧

随笔 设计模式 开发 代理模式

Service Mesh的演化与未来

Service Mesh的演化与未来

Web是否应该被加密?-InfoQ