BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Web是否应该被加密?

| 作者 Jean-Jacques Dubray 关注 3 他的粉丝 ,译者 杨晨 关注 0 他的粉丝 发布于 2011年8月11日. 估计阅读时间: 4 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

成立于1990年的电子前线基金会是一个非营利组织。它在2010年6月发布了HTTPS Everywhere的beta测试版。8月4日,HTTPS Everywhere的1.0版发布,包括了数百个新加的站点,以及精心制定的从HTTP转到HTTPS的规则。

HTTPS现在是互联网安全和隐私保护的基石。它在反“搜索劫持”上起着关键作用。

今年早些时候,两篇论文就指出在一些美国ISP中曾出现过的诡异的域名系统(DNS)问题。在这些ISP的网络中,有一些指向主要搜索引擎(例如Bing,Yahoo!以及(有时)Google)的流量被重定向到一些奇怪的第三方代理上。

EFF高级主任工程师Peter Eckersley解释说:

如果没有HTTPS,你的在线阅读习惯和行为都非常容易被窃听,而且你的账号也非常容易被窃取。Paxfire的遭遇就是一个很好的例子,它告诉我们事情可能会变得多糟糕。EFF创建了HTTPS Everywhere来帮助用户保护他们的用户名,密码和浏览历史。”

HTTPS Everywhere 1.0能够加密到Google图片搜索、Flickr、Netflix、Apple以及例如NPR和经济学人这样的新闻网站的链接,当然这里面还包括了到数百个银行的链接。HTTPS Everywhere也同样支持将Google搜索、Facebook、Twitter、Hotmail、Wikipedia、纽约时报以及数百个流行网站的链接加密。

EFF Firefox扩展也能够保护使用Google、DuckDuckGo或者StartingPage搜索的用户,但是不能保护Bing和Yahoo用户,因为这些搜索引擎不支持HTTPS。

Aaron Swartz表示他已经能够让HTTPS Everywhere初步运行在Chrome上面了。去年Dan Kaminsky写了一篇关于HTML 5安全性的文章,以及引用了一些浏览器实现HTTP时出现的漏洞:

Robert “RSnake” Hansen和Josh Sokel在Black Hat 2010上做了一个题为“HTTPS的潜在安全问题”的演讲。他们认为,虽然HTTP的连接实际上缺乏像HTTPS那样对信息加密的控制能力 - 但是,强悍的HTTPS的控制能力却也带来了比预期中的更多麻烦。

Dan解释说:

  • 如果你的站点有一个万用证书,那么无论主机信息头部是什么样,这个站点都极有可能遭受跨站攻击。
  • 考虑HTTP站点的cookie能够在HTTPS中使用,并且保存路径是固定的,不仅如此,过大的cookie将会导致服务器错误,因此一个HTTP攻击者可以通过使用大量的cookie“关闭掉”HTTPS的某些功能从而迫使用户只使用HTTP版本。

Dan最后总结道:

这些发现最终更加坚定了我对于将站点设置为只接受SSL的信念,只有这样,站点才不会被HTTP给弄得麻烦缠身。这些混合使用的科技,HTTPS Everywhere,Strict-Transport-Security,以及还未指明的DNSSEC强制传输标记,将会变得越来越重要。

刚刚年满20岁的Web已经略显疲态,它的核心技术看起来已经不能够应付不断增加的复杂攻击。不断增加的Web API和大量出现的各种保护Web协议的伪标准方法也让数据的规模成倍增长,而且已经超出处理能力。Web是否正在超加密方向发展呢?你将如何应付这种局面?

查看英文原文:Should the Web be Encrypted?

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

当然需要 by Colder Xihk

不解释

Re: 当然需要 by zhang cheney

GFW表示没有鸭梨

Re: 当然需要 by jacky 别理科夫

GFW表示没有鸭梨

哈哈哈!同意!

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

3 讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT