助力可信网络发展的安全超文本传输协议
ZDNet 应用安全 发表于:11年08月17日 14:50 [转载] 至顶网
安全专家指出,不论最终用户所在的网络是多么安全,为了防止出现被“窃听”的情况,在连接的时间都依然需要启用安全超文本传输协议(HTTPS)。
守护使亚太区首席技术官保罗·达克林提醒公众和企业不要对“可信网络”概念抱有过多的信心。
“即便单位或者家里的网络属于值得信任的,数据包也需要通过互联网进行传输才能到达另一端的网站”,在接受ZDNet亚洲的电子邮件采访时,他解释说。“对于单独的互联网交易来说,HTTPS的效果就类似特殊用途的虚拟专用网络(VPN)”。
在一封电子邮件中,赛门铁克新加坡的系统工程经理罗尼·吴指出:“没有网络是完全安全的”,所有网络中的未加密流量都属于可以被“嗅探”的。
“从使用者到目标网站的过程可能需要路由经过多种网络,在这一过程中上行流量的安全性并不能被确保,问题的关键依赖于流量通过的通信服务供应商、互联网服务供应商或组织网络的设定”。
不过,蓝外套公司的技术传道者乔纳森·安德烈森指出:由于恶意软件带来的威胁正在日益复杂,HTTPS也并不一定能确保绝对安全。
“【网络犯罪分子】可以选择利用动态网络链接来对信任和受保护位置进行攻击,”他说。“通过使用动态链接模式,网络犯罪分子就可以实现对基础设施进行攻击的行为,这一过程中仅仅需要改变的就是恶意软件的使用位置”。
“因此,仅仅对数据进行加密处理,并不能完全解决动态恶意软件带来的问题。”
按照安德烈森的说法,大多数电子商务和社会化服务网站已经启用了HTTPS,为用户提供额外的安全保障。他进一步补充说,在今后的五年里,随着一半以上的企业选择部署基于安全套接层(SSL)协议的应用,在企业数据流量中HTTPS将占据主导位置。
但是,按照专栏作者斯科特·吉尔伯特在本月初发表文章中的说法, 尽管HTTPS属于当前可以提供的最安全连接方式,但网站往往会处于速度和成本方面关键因素的考虑而没有选择部署。
引用万维网联盟网络服务活动主管伊夫斯·拉丰的说法,吉尔伯特解释了相关原因。HTTPS不容许缓存的限制会让整个连接过程变得缓慢,对于视频类网站来说,这是一个很大的问题。
在文章中拉丰指出,与超文本传输协议(HTTP)相比,HTTPS在部署和运营方面的花费也更高,对于小网站来说,这是一个很关键的问题,“如果网站突然变得非常流行,就会出现聚沙成塔的大问题”。
不过,守护使的达克林再次强调,对于包含了与用户个人信息相关数据的网络会话过程来说,应该尽量选择使用HTTPS。
这位IT资深专家指出:“这里说的,不应该仅仅是包含用户名、密码和信用卡号码之类的机密信息,所有让浏览会话与其它人不同的信息都应该被包括在内。举例来说,我账户文件中的信息或者电子邮件中的内容都属于这种情况。”
他警告说,对于所有的连接会话,包括Facebook和Twitter在内的网站都选择使用一个由服务器发送给浏览器的秘密“会话cookie”来保存信息。这样的话,直到注销为止,用户只需要输入一次用户名和密码,此类信息必须采用HTTPS进行加密处理。
他进一步补充说,否则的话,网络上的其它用户就有可能窃听并获取到用户的会话cookie,从而获得邮件或者推特中的信息,这就是俗称的“HTTP会话劫持”类黑客攻击。
当被问及终端安全技术是否可以帮助HTTPS将连接安全性进一步提高时,达克林和赛门铁克的吴经理指出,被恶意软件感染的弱终端可能会容许攻击者查看加密之前的详细流量情况。
蓝外套的安德烈森补充说:“由于确保了加密数据的安全,HTTPS为企业提供了多层次的防御措施。另一方面,终端安全工具也不是总可以捕捉到实时威胁;举例来说,防病毒工具就可能被用户禁用”。
尽管所有的三位专家都一致认为HTTPS确实属于安全的网络标准,但来自赛门铁克的吴还是指出了一个“漏洞”,可以为网络犯罪分子提供帮助。
“对于恶意的网络攻击者来说,获得用户正在访问的域名也可以带来帮助”,他指出。“互联网上当前使用的传输层安全(TSL)和SSL之类的安全协议对这方面没有足够的重视。从这一意义上来说,HTTPS的应用是比较有限。”