安全專家指出,不論最終用戶所在的網絡是多么安全,為了防止出現被“竊聽”的情況,在連接的時間都依然需要啟用安全超文本傳輸協議(HTTPS)。
守護使亞太區首席技術官保羅·達克林提醒公眾和企業不要對“可信網絡”概念抱有過多的信心。
“即便單位或者家里的網絡屬于值得信任的,數據包也需要通過互聯網進行傳輸才能到達另一端的網站”,在接受ZDNet亞洲的電子郵件采訪時,他解釋說。“對于單獨的互聯網交易來說,HTTPS的效果就類似特殊用途的虛擬專用網絡(VPN)”。
在一封電子郵件中,賽門鐵克新加坡的系統工程經理羅尼·吳指出:“沒有網絡是完全安全的”,所有網絡中的未加密流量都屬于可以被“嗅探”的。
“從使用者到目標網站的過程可能需要路由經過多種網絡,在這一過程中上行流量的安全性并不能被確保,問題的關鍵依賴于流量通過的通信服務供應商、互聯網服務供應商或組織網絡的設定”。
不過,藍外套公司的技術傳道者喬納森·安德烈森指出:由于惡意軟件帶來的威脅正在日益復雜,HTTPS也并不一定能確保絕對安全。
“【網絡犯罪分子】可以選擇利用動態網絡鏈接來對信任和受保護位置進行攻擊,”他說。“通過使用動態鏈接模式,網絡犯罪分子就可以實現對基礎設施進行攻擊的行為,這一過程中僅僅需要改變的就是惡意軟件的使用位置”。
“因此,僅僅對數據進行加密處理,并不能完全解決動態惡意軟件帶來的問題。”
按照安德烈森的說法,大多數電子商務和社會化服務網站已經啟用了HTTPS,為用戶提供額外的安全保障。他進一步補充說,在今后的五年里,隨著一半以上的企業選擇部署基于安全套接層(SSL)協議的應用,在企業數據流量中HTTPS將占據主導位置。
但是,按照專欄作者斯科特·吉爾伯特在本月初發表文章中的說法, 盡管HTTPS屬于當前可以提供的最安全連接方式,但網站往往會處于速度和成本方面關鍵因素的考慮而沒有選擇部署。
引用萬維網聯盟網絡服務活動主管伊夫斯·拉豐的說法,吉爾伯特解釋了相關原因。HTTPS不容許緩存的限制會讓整個連接過程變得緩慢,對于視頻類網站來說,這是一個很大的問題。
在文章中拉豐指出,與超文本傳輸協議(HTTP)相比,HTTPS在部署和運營方面的花費也更高,對于小網站來說,這是一個很關鍵的問題,“如果網站突然變得非常流行,就會出現聚沙成塔的大問題”。
不過,守護使的達克林再次強調,對于包含了與用戶個人信息相關數據的網絡會話過程來說,應該盡量選擇使用HTTPS。
這位IT資深專家指出:“這里說的,不應該僅僅是包含用戶名、密碼和信用卡號碼之類的機密信息,所有讓瀏覽會話與其它人不同的信息都應該被包括在內。舉例來說,我賬戶文件中的信息或者電子郵件中的內容都屬于這種情況。”
他警告說,對于所有的連接會話,包括Facebook和Twitter在內的網站都選擇使用一個由服務器發送給瀏覽器的秘密“會話cookie”來保存信息。這樣的話,直到注銷為止,用戶只需要輸入一次用戶名和密碼,此類信息必須采用HTTPS進行加密處理。
他進一步補充說,否則的話,網絡上的其它用戶就有可能竊聽并獲取到用戶的會話cookie,從而獲得郵件或者推特中的信息,這就是俗稱的“HTTP會話劫持”類黑客攻擊。
當被問及終端安全技術是否可以幫助HTTPS將連接安全性進一步提高時,達克林和賽門鐵克的吳經理指出,被惡意軟件感染的弱終端可能會容許攻擊者查看加密之前的詳細流量情況。
藍外套的安德烈森補充說:“由于確保了加密數據的安全,HTTPS為企業提供了多層次的防御措施。另一方面,終端安全工具也不是總可以捕捉到實時威脅;舉例來說,防病毒工具就可能被用戶禁用”。
盡管所有的三位專家都一致認為HTTPS確實屬于安全的網絡標準,但來自賽門鐵克的吳還是指出了一個“漏洞”,可以為網絡犯罪分子提供幫助。
“對于惡意的網絡攻擊者來說,獲得用戶正在訪問的域名也可以帶來幫助”,他指出。“互聯網上當前使用的傳輸層安全(TSL)和SSL之類的安全協議對這方面沒有足夠的重視。從這一意義上來說,HTTPS的應用是比較有限。”
京公網安備 11010502049343號