助力可信网络发展的HTTPS

安全 应用安全
安全专家声称,就如流量加密是消除“HTTP会话劫持”的唯一方法一样,安全网络不应该将HTTPS作为备用的替代选择。对于利用主机保存用户个人信息的网站来说,必须提供这样的服务。

安全专家指出,不论最终用户所在的网络是多么安全,为了防止出现被“窃听”的情况,在连接的时间都依然需要启用安全超文本传输协议(HTTPS)。

守护使亚太区首席技术官保罗·达克林提醒公众和企业不要对“可信网络”概念抱有过多的信心。

“即便单位或者家里的网络属于值得信任的,数据包也需要通过互联网进行传输才能到达另一端的网站”,在接受ZDNet亚洲的电子邮件采访时,他解释说。“对于单独的互联网交易来说,HTTPS的效果就类似特殊用途的虚拟专用网络(VPN)”。

在一封电子邮件中,赛门铁克新加坡的系统工程经理罗尼·吴指出:“没有网络是完全安全的”,所有网络中的未加密流量都属于可以被“嗅探”的。

“从使用者到目标网站的过程可能需要路由经过多种网络,在这一过程中上行流量的安全性并不能被确保,问题的关键依赖于流量通过的通信服务供应商、互联网服务供应商或组织网络的设定”。

不过,蓝外套公司的技术传道者乔纳森·安德烈森指出:由于恶意软件带来的威胁正在日益复杂,HTTPS也并不一定能确保绝对安全。

“【网络犯罪分子】可以选择利用动态网络链接来对信任和受保护位置进行攻击,”他说。“通过使用动态链接模式,网络犯罪分子就可以实现对基础设施进行攻击的行为,这一过程中仅仅需要改变的就是恶意软件的使用位置”。

“因此,仅仅对数据进行加密处理,并不能完全解决动态恶意软件带来的问题。”

按照安德烈森的说法,大多数电子商务和社会化服务网站已经启用了HTTPS,为用户提供额外的安全保障。他进一步补充说,在今后的五年里,随着一半以上的企业选择部署基于安全套接层(SSL)协议的应用,在企业数据流量中HTTPS将占据主导位置。

但是,按照专栏作者斯科特·吉尔伯特在本月初发表文章中的说法, 尽管HTTPS属于当前可以提供的最安全连接方式,但网站往往会处于速度和成本方面关键因素的考虑而没有选择部署。

引用万维网联盟网络服务活动主管伊夫斯·拉丰的说法,吉尔伯特解释了相关原因。HTTPS不容许缓存的限制会让整个连接过程变得缓慢,对于视频类网站来说,这是一个很大的问题。

在文章中拉丰指出,与超文本传输协议(HTTP)相比,HTTPS在部署和运营方面的花费也更高,对于小网站来说,这是一个很关键的问题,“如果网站突然变得非常流行,就会出现聚沙成塔的大问题”。

不过,守护使的达克林再次强调,对于包含了与用户个人信息相关数据的网络会话过程来说,应该尽量选择使用HTTPS。

这位IT资深专家指出:“这里说的,不应该仅仅是包含用户名、密码和信用卡号码之类的机密信息,所有让浏览会话与其它人不同的信息都应该被包括在内。举例来说,我账户文件中的信息或者电子邮件中的内容都属于这种情况。”

他警告说,对于所有的连接会话,包括Facebook和Twitter在内的网站都选择使用一个由服务器发送给浏览器的秘密“会话cookie”来保存信息。这样的话,直到注销为止,用户只需要输入一次用户名和密码,此类信息必须采用HTTPS进行加密处理。

他进一步补充说,否则的话,网络上的其它用户就有可能窃听并获取到用户的会话cookie,从而获得邮件或者推特中的信息,这就是俗称的“HTTP会话劫持”类黑客攻击。

当被问及终端安全技术是否可以帮助HTTPS将连接安全性进一步提高时,达克林和赛门铁克的吴经理指出,被恶意软件感染的弱终端可能会容许攻击者查看加密之前的详细流量情况。

蓝外套的安德烈森补充说:“由于确保了加密数据的安全,HTTPS为企业提供了多层次的防御措施。另一方面,终端安全工具也不是总可以捕捉到实时威胁;举例来说,防病毒工具就可能被用户禁用”。

尽管所有的三位专家都一致认为HTTPS确实属于安全的网络标准,但来自赛门铁克的吴还是指出了一个“漏洞”,可以为网络犯罪分子提供帮助。

“对于恶意的网络攻击者来说,获得用户正在访问的域名也可以带来帮助”,他指出。“互联网上当前使用的传输层安全(TSL)和SSL之类的安全协议对这方面没有足够的重视。从这一意义上来说,HTTPS的应用是比较有限。”

 

【编辑推荐】

  1. NSA Suite B加密:机密网络安全法宝
  2. AES加密算法强度被削弱
  3. 解析基于NTFS的EFS加密与解密及私钥导出
  4. 最差做法 加密失误
  5. 邮件加密成趋势 省级移动公司拟意向
责任编辑:Writer 来源: ZDNet
相关推荐

2018-01-12 16:50:20

华为云

2018-01-11 21:32:39

华为,华为云

2021-07-13 09:42:32

可信AI人工智能AI

2021-07-13 07:41:08

人工智能AI深度学习

2016-08-12 10:13:03

2015-07-07 11:19:20

提速降费互联网+

2021-08-06 12:48:13

区块链隐私技术

2011-12-13 16:20:10

H3C教育

2015-12-23 15:04:23

2013-04-03 11:06:13

思科可信网络技术网络架构

2016-08-12 10:16:21

2014-10-14 18:25:23

远程控制软件

2015-07-30 09:23:27

循环经济

2009-08-26 18:46:38

网络威胁Web安全Blue Coat

2010-04-01 21:28:34

上网行为管理网络安全任天行

2015-08-18 11:48:06

敏捷校园成都师范学院华为

2011-06-02 16:57:25

D-LinkIPv6

2018-01-15 17:11:42

虚拟化
点赞
收藏

51CTO技术栈公众号