发布在即!企业 AIGC 应用程度测评,3 步定制专属评估报告。抢首批测评权益>>> 了解详情
写点什么

Web 是否应该被加密?

  • 2011-08-10
  • 本文字数:1211 字

    阅读完需:约 4 分钟

成立于 1990 年的电子前线基金会是一个非营利组织。它在2010 年6 月发布了HTTPS Everywhere 的beta 测试版。8 月4 日,HTTPS Everywhere 的 1.0 版发布,包括了数百个新加的站点,以及精心制定的从 HTTP 转到 HTTPS 的规则。

HTTPS 现在是互联网安全和隐私保护的基石。它在反“搜索劫持”上起着关键作用。

今年早些时候,两篇论文就指出在一些美国 ISP 中曾出现过的诡异的域名系统(DNS)问题。在这些 ISP 的网络中,有一些指向主要搜索引擎(例如 Bing,Yahoo!以及(有时)Google)的流量被重定向到一些奇怪的第三方代理上。

EFF 高级主任工程师 Peter Eckersley 解释说:

如果没有 HTTPS,你的在线阅读习惯和行为都非常容易被窃听,而且你的账号也非常容易被窃取。Paxfire 的遭遇就是一个很好的例子,它告诉我们事情可能会变得多糟糕。EFF 创建了 HTTPS Everywhere 来帮助用户保护他们的用户名,密码和浏览历史。”

HTTPS Everywhere 1.0 能够加密到 Google 图片搜索、Flickr、Netflix、Apple 以及例如 NPR 和经济学人这样的新闻网站的链接,当然这里面还包括了到数百个银行的链接。HTTPS Everywhere 也同样支持将 Google 搜索、Facebook、Twitter、Hotmail、Wikipedia、纽约时报以及数百个流行网站的链接加密。

EFF Firefox 扩展也能够保护使用 Google、DuckDuckGo 或者 StartingPage 搜索的用户,但是不能保护 Bing 和 Yahoo 用户,因为这些搜索引擎不支持 HTTPS。

Aaron Swartz 表示他已经能够让 HTTPS Everywhere 初步运行在 Chrome 上面了。去年 Dan Kaminsky 写了一篇关于 HTML 5 安全性的文章,以及引用了一些浏览器实现 HTTP 时出现的漏洞:

Robert “RSnake” Hansen 和 Josh Sokel 在 Black Hat 2010 上做了一个题为“ HTTPS 的潜在安全问题”的演讲。他们认为,虽然 HTTP 的连接实际上缺乏像 HTTPS 那样对信息加密的控制能力 - 但是,强悍的 HTTPS 的控制能力却也带来了比预期中的更多麻烦。

Dan 解释说:

  • 如果你的站点有一个万用证书,那么无论主机信息头部是什么样,这个站点都极有可能遭受跨站攻击。
  • 考虑 HTTP 站点的 cookie 能够在 HTTPS 中使用,并且保存路径是固定的,不仅如此,过大的 cookie 将会导致服务器错误,因此一个 HTTP 攻击者可以通过使用大量的 cookie“关闭掉”HTTPS 的某些功能从而迫使用户只使用 HTTP 版本。

Dan 最后总结道:

这些发现最终更加坚定了我对于将站点设置为只接受 SSL 的信念,只有这样,站点才不会被 HTTP 给弄得麻烦缠身。这些混合使用的科技,HTTPS Everywhere,Strict-Transport-Security,以及还未指明的 DNSSEC 强制传输标记,将会变得越来越重要。

刚刚年满20 岁的Web 已经略显疲态,它的核心技术看起来已经不能够应付不断增加的复杂攻击。不断增加的Web API 和大量出现的各种保护Web 协议的伪标准方法也让数据的规模成倍增长,而且已经超出处理能力。Web 是否正在超加密方向发展呢?你将如何应付这种局面?

查看英文原文: Should the Web be Encrypted?

2011-08-10 18:292723
用户头像

发布了 90 篇内容, 共 32.7 次阅读, 收获喜欢 5 次。

关注

评论

发布
暂无评论
发现更多内容

Flutter-系列(四)基础UI实践,从外包月薪5K到阿里月薪15K

android 程序员 移动开发

Flutter仿钉钉考勤日历,html5移动端

android 程序员 移动开发

Flutter的原理及美团的实践(中),直击优秀开源框架灵魂

android 程序员 移动开发

Flutter这么火为什么不了解一下呢?(下,2020-2021京东Android面试真题解析

android 程序员 移动开发

web技术分享| 一人一天一个可移植的实时聊天系统

anyRTC开发者

大前端 Web 音视频 实时通信 实时聊天

Flutter 跨平台框架应用实战-2019极光开发者大会,音视频开发面试

android 程序员 移动开发

架构实战营 模块三作业

felix

架构实战营

Flutter动手实战,大佬手把手教你如何仿写出大厂的APP,Android软件开发面试题

android 程序员 移动开发

Flutter开发之Dart的数据类型01,安卓开发面试自我介绍

android 程序员 移动开发

Flutter 入门与实战(十三),安卓framework层开发

android 程序员 移动开发

Flutter学习之布局、交互、动画,字节跳动学习笔记

android 程序员 移动开发

Flutter基础(三)Dart快速入门,下血本买的

android 程序员 移动开发

Flutter自适应瀑布流,深入浅出安卓开发

android 程序员 移动开发

Fragment新功能,setMaxLifecycle了解一下,一文详解

android 程序员 移动开发

Flutter中http请求抓包解决方案,揭秘今年Android春招面试必问问题有哪些

android 程序员 移动开发

Flutter混合开发(三):Android与Flutter之间通信详细指南

android 程序员 移动开发

Flutter之FutureBuilder的学习和使用,Android2021面试题

android 程序员 移动开发

Flutter原理:三棵重要的树(渲染过程、布局约束,android开发框架介绍

android 程序员 移动开发

Flutter图表库fl_chart的使用解析(二)-折线图,android webview

android 程序员 移动开发

Flutter实战之实现一个简单的新闻阅读器,html5移动端开发框架

android 程序员 移动开发

Fragment的使用,为什么有人说Android开发不再吃香

android 程序员 移动开发

Flutter 如何发布安卓应用?,flutter文档发布组件

android 程序员 移动开发

Flutter之全埋点思考与实现,精心整理

android 程序员 移动开发

新一代云上基础技术和架构分论坛

阿里云 架构 基础设施 科技 云栖大会

从厂商主张到客户主见,4个变化揭示 Serverless 的不同

望宸

Serverless 容器 云原生 k8s

Flutter开发中的一些Tips(二),2021年网易Android岗面试必问

android 程序员 移动开发

Flutter 官方尝试放只“鸽子”来简化Native插件开发,复习指南

android 程序员 移动开发

Flutter之撸一个漂亮的登录界面的总结,Android性能优化之启动优化实战篇

android 程序员 移动开发

Flutter学习之认知基础组件,android手机开发教程

android 程序员 移动开发

Flutter开发桌面应用-第一个windwos桌面应用,androidframework视频

android 程序员 移动开发

Flutter提升开发效率的一些方法和工具,零基础入门学习android

android 程序员 移动开发

Web是否应该被加密?_安全_Jean-Jacques Dubray_InfoQ精选文章