六月中網路安全世界出現了一些有趣的消息。首先是美國政府宣布所有聯邦機構維護的網站到2016年底都必須使用HTTPS。接著是維基媒體基金會(最為人所知的是維基百科)宣布他們也會在網站上強制使用HTTPS,預計在「幾個禮拜內」會全面完成。
隨著大型組織轉向全HTTPS,而且瀏覽器廠商也跟著推波助瀾(有紀錄指出Mozilla最終只會將新功能使用在HTTPS網站上),較小網站的所有者也是時候跟進了嗎?一般使用者應該要強迫他們所喜愛的網站採用HTTPS嗎?它真的能夠有助於網路安全嗎?
簡短的回答是YES。網站所有者應該認真考慮為自己的網站啟用HTTPS。很清楚地是有許多人認為,從長遠來看,採用HTTPS可以增加網路安全性。網路巨頭如Google和Mozilla,再加上國際組織像是網際網路工程工作小組(IETF)和全球資訊網協會(W3C)都贊成此說法。現在在建立的網站應該一開始就使用HTTPS。這是今日資訊網的方向,而現在建立的網站應該要考慮到使用者的安全性和隱私。對於現行的網站,只要可能就盡快啟用HTTPS是網站所有者該認真思考的事情,特別是當需要處理敏感資料時。
另一件網站管理員要考慮的事情是,從長遠來看,搜索引擎可能會將使用HTTPS做為排名演算法的一部分。Google已經如此做了。雖然現在它還不是一個特別顯著的「信號」,但長久來說可能會大大的改變。對網站所有者來說,能夠領先於這潮流是件好事,而且也讓其使用者擁有更加安全和隱私的網路。
HTTPS:一個好的開始
但要注意的是,雖然強制採用HTTPS是提升網路安全非常重要的一步,但不應該只止於此。HTTPS絕對是種進步,但它並非完美,對網路安全來說也絕非萬靈丹。
可以將它想成是利用安全容器來寄送東西,比方說保險箱。攻擊者可以利用他們安全卻假的保險箱來置換掉整個容器,在它打開之後將東西偷走(從使用者電腦上偷走解密後的資料),或是寄送一個非常安全的保險箱給使用者,裡面卻藏著炸彈(將使用者透過安全通道導到惡意網站)。HTTPS只處理安全「傳輸」的問題,也就是資料跨越網際網路傳送的部分。它並沒有解決其他的網路安全問題,也從來不是。
但是這股將HTTPS實作變成網站規範的發展絕對是個正確的方向,對網站擁有者來說能夠加以跟進是非常重要的。
@原文出處:US Government, Wikipedia Go All-HTTPS. Should Site Owners Do It, Too? 作者:David Sancho(資深威脅研究員)
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接