如何避免心臟出血？整個(gè)互聯(lián)網(wǎng)需加密

國外媒體近日發(fā)布文章指出，Heartbleed漏洞打碎了人們對(duì)安全網(wǎng)絡(luò)的信任，但要是沒有為Heartbleed（心臟出血）所利用的那款加密軟件，情況會(huì)更加糟糕。事實(shí)上，互聯(lián)網(wǎng)是時(shí)候好好考慮一下一個(gè)新想法了：到處加密。

大多數(shù)主流網(wǎng)站是使用SSL或者TLS協(xié)議來保護(hù)在瀏覽器和服務(wù)器之間傳輸?shù)拿艽a或者信用卡信息。每當(dāng)發(fā)現(xiàn)網(wǎng)站是使用HTTPS而非HTTP，你就會(huì)知道它使用的是SSL或者TLS協(xié)議。不過，只有少數(shù)幾個(gè)網(wǎng)站——如Facebook和Gmail——是使用HTTPS來保護(hù)其所有的流量，而不只是保護(hù)用戶的密碼和支付信息。

很多安全專家——包括谷歌的搜索專家麥特·卡茨（Matt Cutts）——都認(rèn)為是時(shí)候?qū)⑦@一種加密推向整個(gè)互聯(lián)網(wǎng)。那意味著一切都會(huì)得到安全的連接，從你的銀行網(wǎng)站到本地比薩餅店的在線菜單。

卡茨負(fù)責(zé)領(lǐng)導(dǎo)谷歌對(duì)抗搜索引擎作弊的團(tuán)隊(duì)。他幫助該公司通過調(diào)整搜索引擎算法來優(yōu)先展示特定網(wǎng)站。例如，該搜索引擎會(huì)優(yōu)先顯示載入速度快的網(wǎng)站，懲罰那些抄襲他人的網(wǎng)站。

卡茨今年早些時(shí)候曾向博主巴里·施瓦茲（Barry Schwartz）表示，如果他可以做主的話，他會(huì)讓谷歌優(yōu)先顯示那些使用HTTPS的網(wǎng)站。鑒于網(wǎng)站都希望爭得更高的搜索排名，這一變化如果真的落實(shí)，很可能會(huì)引發(fā)一股使用HTTPS的熱潮。

卡茨向施瓦茨指出，那是一個(gè)富有爭議的想法，它在谷歌內(nèi)部面臨著一些反對(duì)聲音。谷歌發(fā)言人稱，公司目前沒有東西要公布。因此該變化短期內(nèi)還不會(huì)發(fā)生。

“換掉純文本”

沒有誰比白帽黑客摩西·馬林斯帕克（Moxie Marlinspike）更加清楚SSL/TLS的安全隱患。該Twitter前工程師在其職業(yè)生涯中在那兩個(gè)協(xié)議中發(fā)現(xiàn)過多個(gè)重大漏洞，提議采用其它的處理信托和驗(yàn)證的方式。不過他還是覺得在盡可能多的地方使用HTTPS會(huì)是好事?！拔艺J(rèn)為，讓網(wǎng)絡(luò)流量盡可能地不透明很重要，即便是對(duì)于靜態(tài)內(nèi)容?！彼f道，“理想情況下，我們應(yīng)當(dāng)完全換掉互聯(lián)網(wǎng)上的純文本?！?/p>

網(wǎng)站如果是使用HTTPS協(xié)議，數(shù)據(jù)就會(huì)被編碼，理論上只有你和與你通訊的服務(wù)器能夠看到在你的電腦和服務(wù)器之間傳輸?shù)男畔?nèi)容。

大多數(shù)主流網(wǎng)站僅使用HTTPS來保護(hù)你的登陸密碼和信用卡信息。不過這一點(diǎn)在2010年開始發(fā)生變化，當(dāng)時(shí)軟件開發(fā)者埃里克·巴特勒（Eric Butler）發(fā)布的一款自由工具FireSheep說明，在一個(gè)共享網(wǎng)絡(luò)（如公共Wi-Fi）中短暫控制其他人的賬號(hào)其實(shí)很容易。

巴特勒認(rèn)同更多的使用HTTPS是好事這一點(diǎn)，且指出使用HTTP會(huì)讓政府或者不法分子更容易監(jiān)視互聯(lián)網(wǎng)用戶在線上的一舉一動(dòng)。The Intercept技術(shù)專家邁卡·李（Micah Lee）指出，在很多情況下，使用HTTPS意義重大，它不僅僅能夠保護(hù)密碼和其它的敏感信息。

例如，HTTPS不僅僅加密服務(wù)器和你的電腦之間傳輸?shù)男畔ⅲ核€會(huì)驗(yàn)證你在下載的內(nèi)容確實(shí)是來自你以為的來源。這一點(diǎn)普通的HTTP連接無法做到。

“任何涉及誘騙受害者連接至攻擊者的服務(wù)器而非真實(shí)服務(wù)器的攻擊，HTTPS都能夠制止?！边~卡·李通過電郵表示，“這一點(diǎn)非常重要，即便是對(duì)于非機(jī)密內(nèi)容：你可不想被攻擊者偷偷更改你在訪問的網(wǎng)站內(nèi)容?！?/p>

例如，不希望公民獲得維基百科上的特定信息的國家可以建立一個(gè)系統(tǒng)來向用戶呈現(xiàn)偽造的維基百科頁面。“要是沒有HTTPS，內(nèi)容審查就不僅僅是可行的?！边~卡·李說道，“對(duì)于像政府這樣的強(qiáng)力攻擊者來說審查會(huì)變得很簡單，普通用戶無法察覺得到?！?/p>

而最危險(xiǎn)的情況之一是，黑客將普通軟件的下載替換成惡意軟件下載?！鞍l(fā)行軟件的網(wǎng)站完全沒有理由使用HTTP，”邁卡·李指出，“它們應(yīng)當(dāng)一直使用HTTPS，否則就會(huì)將軟件用戶置于危險(xiǎn)當(dāng)中?！?/p>

使用HTTPS的弊端

不過，如果HTTPS那么好，那為什么不是每一家網(wǎng)站都采用它呢？萬維網(wǎng)同盟HTTPS專家伊夫·拉豐（Yves Lafon）曾在2011年表示，到處使用HTTPS有幾個(gè)弊端。

首先是成本增加。你得從認(rèn)證中心購買TLS證書，證書售價(jià)在一年10美元到一年1000美元之間，具體取決于你購買的證書類型和它提供的身份驗(yàn)證等級(jí)。另一個(gè)問題是，HTTPS會(huì)增加服務(wù)器資源消耗，減緩網(wǎng)站的運(yùn)行。不過馬林斯帕克和巴特勒均認(rèn)為這些成本和資源開支實(shí)際上被大大高估。

而對(duì)于小型網(wǎng)站來說，問題則在于使用廉價(jià)共享主機(jī)的網(wǎng)站難以設(shè)立獨(dú)特的憑證。另外，使用內(nèi)容發(fā)布網(wǎng)絡(luò)（CDN）來提速的網(wǎng)站以往在實(shí)施SSL時(shí)通常都會(huì)遇到問題。相關(guān)問題如今已基本得到解決，不過網(wǎng)站的運(yùn)行成本、性能和復(fù)雜程度因主機(jī)而異。

不過，即使整個(gè)互聯(lián)網(wǎng)還沒做好完全轉(zhuǎn)向HTTPS的準(zhǔn)備，也有足夠多的理由來支撐更多的網(wǎng)站應(yīng)當(dāng)開始默認(rèn)使用HTTPS的觀點(diǎn)——尤其是那些提供共享的信息和軟件的網(wǎng)站。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。