使用https和ssl就真的安全了吗?

2014 年,我和绝大多数中小站长一样都开始关注 HTTPS,并在网站采用 HTTPS 的。原因很简单:当时 Google 发布了一篇文章,称提升对 HTTPS 网站的排名权重。所以几乎所有的 SEO 机构都建议他们的客户,将 HTTP 的网站改为 HTTPS。但实际上,它从来没有(也不应该是)作为提升排名的主要因素。

图片[1]-使用https和ssl就真的安全了吗?-可能资源网

那么为什么 百度 谈论排名呢?当然是为了引起人们的注意。

百度 的长期目标是让网站对用户更加安全,同时保护自己的用户。毕竟,如果客户在使用谷歌向用户展示的搜索结果之后,客户发现他们的信用卡信息被盗用了,他们将不再相信 百度 能为他们提供安全,高质量的结果。

HTTPS 再次成为焦点,因为 百度积极地将网站突出显示为对用户“安全”和“不安全”。这对我来说是个问题,使用“安全”这个词。

拥有 SSL 证书并不意味着你有一个安全的网站,随着新的欧洲 GDPR 法规开始实行,很多企业可能会因为这种误解而被坑。世界各地的网络攻击也给大众媒体带来了更多关于网络安全问题的焦虑,一些大品牌公司发起公共宣传活动,倡议提高民众对网络安全基础知识的认识。

但是,即使这个来自巴克莱的电视广告也是错误的。它宣称,一个带有绿色锁和 HTTPS 的网站是一个真是安全的网站的标志,没有一个网站可能是假的。但事实是虚假网站仍然可以使用 HTTPS。

如果一个伪造或真实的网站想要使用 SSL / TLS 技术,他们所需要做的就是获得一个证书。 SSL 证书可以免费获得,并通过 Cloudflare 等技术在几分钟内实现,就浏览器而言 – 该网站是安全的。

SSL 的原理

当用户导航到网站时,网站向浏览器提供证书。然后浏览器验证网站提供的证书,一般需要三步:

  1. 对于与正在访问的域相同的域有效。
  2. 已由可信 CA(证书颁发机构)颁发。
  3. 证书有效并且没有过期。

一旦用户的浏览器验证了 SSL 认证的有效性,连接将继续。如果没有,您将在浏览器中收到不安全的警告,或拒绝访问该网站。

如果成功,浏览器和网站服务器交换必要的详细信息以形成安全连接并加载该站点。

HTTPS 能多大程度上保护我们?

加密过境 / 加密处于休息状态

HTTPS(和 SSL / TLS)提供了所谓的“传输加密”。这意味着我们的浏览器和网站服务器之间的数据和通信(使用安全协议)是加密格式,因此如果拦截这些数据包,则不能读取或篡改数据。

但是,当浏览器接收到数据时,它会解密数据,当服务器接收到数据时,它也会被解密 – 因此它可以在将来记住或者被其他集成(如 CRM)使用。 SSL 和 TLS 不会为我们提供静态加密(当数据存储在网站的服务器上时)。这意味着如果黑客能够访问服务器,他们可以读取您提交的所有数据。

大多数入侵和数据泄露是黑客获得了访问这些未加密数据库的结果,因此 HTTPS 技术意味着我们的数据能够安全地进入数据库,但并不意味着安全地进行存储。

SSL 也可能很脆弱

像大多数技术一样,SSL 和 TLS 不断发展和升级。 SSLv1 从来没有公开发布过,所以我们在 SSL 上第一次获得的第一个真实体验是 1995 年发布的 SSLv2,它包含了一些严重的安全缺陷。

由于大量当前的 SSL 实现和配置不正确,这意味着它们容易遭受 DROWN 攻击,因此 SSLv2 仍然可能导致今天出现问题。

SSLv3 于 1996 年推出,从那时起我们已经看到了 TLSv1,TLSv1.1 和 TLSv1.2 的介绍。

这就是 SSL 本身可能成为直接漏洞的地方。随着技术的进步,并不是所有的网站都与他们一起进步,并且尽管使用了更新的 SSL 证书,许多网站仍然支持旧版的协议。黑客可以使用此漏洞和较早的支持来执行协议降级攻击 – 他们使用户浏览器使用旧协议重新连接到网站 – 而许多现代浏览器会阻止 SSLv2 连接,但 SSLv3 仍然要再等 20 年。

SSL 本身也容易受到其他一些潜在的攻击,包括 BEAST,BREACH,FREAK 和 Heartbleed。

HTTPS 在结帐 / 登录页面是一个假的安全提示,很长时间以来,很多企业只在结帐页面或用户登录页面上维护 HTTPS,但在其他页面上运行 HTTP。

当你登录到一个网站时,服务器发回一个 cookie,这意味着你不必记录进出网站(它记住你)。然后,如果您继续在 HTTP 上浏览网站,则会通过不安全的连接发送和接收相同的身份验证 Cookie,这可能会导致攻击者拦截 cookie,窃取它,然后在稍后模拟用户访问服务器。

结论

SSL/TLS 在正确实施时,是在用户浏览器与网站服务器之间传输时保护用户数据的关键技术。为了全面覆盖,网站还应该使用 HSTS 来防止协议降级攻击和 cookie 劫持。

该技术也无法保护网站免受数千种其他已知的破解漏洞利用攻击,这些攻击可能会损害用户数据。

说 HTTPS 是安全的并不是错误的,但它也不是完全正确的。它是网络安全拼图中的一部分,网站所有者需要采取更多措施,而不仅仅是只依赖 HTTPS,并且要符合 GDPR 标准。

THE END
抢沙发

请登录后发表评论

    暂无评论内容

相关推荐

嗯~啊~哦~别~别停~啊老师

嗯~啊~哦~别~别停~啊老师-可能资源网
在这篇作文中,我将描述一个学生和老师之间的互动。请注意,我会尽量避免出现任何可能在中国被视为敏感的内容。 在一个安静的课堂里,学生小明专注地听着老师的讲解。老师用着温和的声音,向学...
可能的头像-可能资源网可能6个月前
072

污到你那里滴水的说说全文、心情大全(共46句)

污到你那里滴水的说说全文、心情大全(共46句)-可能资源网
今天的天气真是糟糕,下起了倾盆大雨,污到你那里滴水的说说。心情大全: 今天的阳光真是灿烂,让我心情大好。 看到一只可爱的小猫,心情瞬间变得温暖起来。 最近工作压力有点大,但我相信自己...
可能的头像-可能资源网可能6个月前
017

小米手机刷机教程(满满干货)

小米手机刷机教程(满满干货)-可能资源网小米手机刷机教程(满满干货)-可能资源网小米手机刷机教程(满满干货)-可能资源网
+4
小米手机刷机教程(满满干货)-可能资源网
可能的头像-可能资源网可能7个月前
042

1819岁macbookpro日本:无网观影实实在在!

1819岁macbookpro日本:无网观影实实在在!-可能资源网
作为一款备受欢迎的电脑,1819岁的MacBook Pro在日本市场上备受关注。无论是用来观影还是其他用途,它都能提供出色的性能和用户体验。 首先,MacBook Pro在处理视频和图形方面表现出色。它配备...
可能的头像-可能资源网可能5个月前
034

小雪张开双腿给老赵上

小雪张开双腿给老赵上-可能资源网
小雪是一个勤奋努力的学生,她总是积极参加各种活动,努力学习,为自己的未来打下坚实的基础。她对老师的教导非常认真,每天都认真完成作业,积极参与课堂讨论,并且乐于助人,经常帮助其他同学...
可能的头像-可能资源网可能6个月前
049

风流寡妇一夜要了六次

风流寡妇一夜要了六次-可能资源网
李珊平是一个活泼开朗,风情万种的女人,她有着迷人的外表和聪明的头脑。黄贵兴是一位年轻有为的商人,他英俊潇洒,事业有成。两人在一次偶然的相遇中,李珊平对黄贵兴产生了浓厚的兴趣。当晚,...
可能的头像-可能资源网可能5个月前
040