安全專(zhuān)家指出，不論最終用戶所在的網(wǎng)絡(luò)是多么安全，為了防止出現(xiàn)被“竊聽(tīng)”的情況，在連接的時(shí)間都依然需要啟用安全超文本傳輸協(xié)議(HTTPS)。

守護(hù)使亞太區(qū)首席技術(shù)官保羅·達(dá)克林提醒公眾和企業(yè)不要對(duì)“可信網(wǎng)絡(luò)”概念抱有過(guò)多的信心。

“即便單位或者家里的網(wǎng)絡(luò)屬于值得信任的，數(shù)據(jù)包也需要通過(guò)互聯(lián)網(wǎng)進(jìn)行傳輸才能到達(dá)另一端的網(wǎng)站”，在接受ZDNet亞洲的電子郵件采訪時(shí)，他解釋說(shuō)。“對(duì)于單獨(dú)的互聯(lián)網(wǎng)交易來(lái)說(shuō)，HTTPS的效果就類(lèi)似特殊用途的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)”。

在一封電子郵件中，賽門(mén)鐵克新加坡的系統(tǒng)工程經(jīng)理羅尼·吳指出：“沒(méi)有網(wǎng)絡(luò)是完全安全的”，所有網(wǎng)絡(luò)中的未加密流量都屬于可以被“嗅探”的。

“從使用者到目標(biāo)網(wǎng)站的過(guò)程可能需要路由經(jīng)過(guò)多種網(wǎng)絡(luò)，在這一過(guò)程中上行流量的安全性并不能被確保，問(wèn)題的關(guān)鍵依賴于流量通過(guò)的通信服務(wù)供應(yīng)商、互聯(lián)網(wǎng)服務(wù)供應(yīng)商或組織網(wǎng)絡(luò)的設(shè)定”。

不過(guò)，藍(lán)外套公司的技術(shù)傳道者喬納森·安德烈森指出：由于惡意軟件帶來(lái)的威脅正在日益復(fù)雜，HTTPS也并不一定能確保絕對(duì)安全。

“【網(wǎng)絡(luò)犯罪分子】可以選擇利用動(dòng)態(tài)網(wǎng)絡(luò)鏈接來(lái)對(duì)信任和受保護(hù)位置進(jìn)行攻擊，”他說(shuō)。“通過(guò)使用動(dòng)態(tài)鏈接模式，網(wǎng)絡(luò)犯罪分子就可以實(shí)現(xiàn)對(duì)基礎(chǔ)設(shè)施進(jìn)行攻擊的行為，這一過(guò)程中僅僅需要改變的就是惡意軟件的使用位置”。

“因此，僅僅對(duì)數(shù)據(jù)進(jìn)行加密處理，并不能完全解決動(dòng)態(tài)惡意軟件帶來(lái)的問(wèn)題。”

按照安德烈森的說(shuō)法，大多數(shù)電子商務(wù)和社會(huì)化服務(wù)網(wǎng)站已經(jīng)啟用了HTTPS，為用戶提供額外的安全保障。他進(jìn)一步補(bǔ)充說(shuō)，在今后的五年里，隨著一半以上的企業(yè)選擇部署基于安全套接層(SSL)協(xié)議的應(yīng)用，在企業(yè)數(shù)據(jù)流量中HTTPS將占據(jù)主導(dǎo)位置。

但是，按照專(zhuān)欄作者斯科特·吉爾伯特在本月初發(fā)表文章中的說(shuō)法，　盡管HTTPS屬于當(dāng)前可以提供的最安全連接方式，但網(wǎng)站往往會(huì)處于速度和成本方面關(guān)鍵因素的考慮而沒(méi)有選擇部署。

引用萬(wàn)維網(wǎng)聯(lián)盟網(wǎng)絡(luò)服務(wù)活動(dòng)主管伊夫斯·拉豐的說(shuō)法，吉爾伯特解釋了相關(guān)原因。HTTPS不容許緩存的限制會(huì)讓整個(gè)連接過(guò)程變得緩慢，對(duì)于視頻類(lèi)網(wǎng)站來(lái)說(shuō)，這是一個(gè)很大的問(wèn)題。

在文章中拉豐指出，與超文本傳輸協(xié)議(HTTP)相比，HTTPS在部署和運(yùn)營(yíng)方面的花費(fèi)也更高，對(duì)于小網(wǎng)站來(lái)說(shuō)，這是一個(gè)很關(guān)鍵的問(wèn)題，“如果網(wǎng)站突然變得非常流行，就會(huì)出現(xiàn)聚沙成塔的大問(wèn)題”。

不過(guò)，守護(hù)使的達(dá)克林再次強(qiáng)調(diào)，對(duì)于包含了與用戶個(gè)人信息相關(guān)數(shù)據(jù)的網(wǎng)絡(luò)會(huì)話過(guò)程來(lái)說(shuō)，應(yīng)該盡量選擇使用HTTPS。

這位IT資深專(zhuān)家指出：“這里說(shuō)的，不應(yīng)該僅僅是包含用戶名、密碼和信用卡號(hào)碼之類(lèi)的機(jī)密信息，所有讓瀏覽會(huì)話與其它人不同的信息都應(yīng)該被包括在內(nèi)。舉例來(lái)說(shuō)，我賬戶文件中的信息或者電子郵件中的內(nèi)容都屬于這種情況。”

他警告說(shuō)，對(duì)于所有的連接會(huì)話，包括Facebook和Twitter在內(nèi)的網(wǎng)站都選擇使用一個(gè)由服務(wù)器發(fā)送給瀏覽器的秘密“會(huì)話cookie”來(lái)保存信息。這樣的話，直到注銷(xiāo)為止，用戶只需要輸入一次用戶名和密碼，此類(lèi)信息必須采用HTTPS進(jìn)行加密處理。

他進(jìn)一步補(bǔ)充說(shuō)，否則的話，網(wǎng)絡(luò)上的其它用戶就有可能竊聽(tīng)并獲取到用戶的會(huì)話cookie，從而獲得郵件或者推特中的信息，這就是俗稱(chēng)的“HTTP會(huì)話劫持”類(lèi)黑客攻擊。

當(dāng)被問(wèn)及終端安全技術(shù)是否可以幫助HTTPS將連接安全性進(jìn)一步提高時(shí)，達(dá)克林和賽門(mén)鐵克的吳經(jīng)理指出，被惡意軟件感染的弱終端可能會(huì)容許攻擊者查看加密之前的詳細(xì)流量情況。

藍(lán)外套的安德烈森補(bǔ)充說(shuō)：“由于確保了加密數(shù)據(jù)的安全，HTTPS為企業(yè)提供了多層次的防御措施。另一方面，終端安全工具也不是總可以捕捉到實(shí)時(shí)威脅;舉例來(lái)說(shuō)，防病毒工具就可能被用戶禁用”。

盡管所有的三位專(zhuān)家都一致認(rèn)為HTTPS確實(shí)屬于安全的網(wǎng)絡(luò)標(biāo)準(zhǔn)，但來(lái)自賽門(mén)鐵克的吳還是指出了一個(gè)“漏洞”，可以為網(wǎng)絡(luò)犯罪分子提供幫助。

“對(duì)于惡意的網(wǎng)絡(luò)攻擊者來(lái)說(shuō)，獲得用戶正在訪問(wèn)的域名也可以帶來(lái)幫助”，他指出。“互聯(lián)網(wǎng)上當(dāng)前使用的傳輸層安全(TSL)和SSL之類(lèi)的安全協(xié)議對(duì)這方面沒(méi)有足夠的重視。從這一意義上來(lái)說(shuō)，HTTPS的應(yīng)用是比較有限。”

【編輯推薦】

1. NSA Suite B加密：機(jī)密網(wǎng)絡(luò)安全法寶
2. AES加密算法強(qiáng)度被削弱
3. 解析基于NTFS的EFS加密與解密及私鑰導(dǎo)出
4. 最差做法 加密失誤
5. 郵件加密成趨勢(shì)　省級(jí)移動(dòng)公司擬意向