请选择 进入手机版 | 继续访问电脑版
Mozilla

火狐社区

登录    注册

用新浪微博连接 QQ互联

HTTPS与在线安全

yingliu Mozilla员工 发表于 2017-5-12 15:35:43 | 显示全部楼层 [复制链接]
4 2196
本帖最后由 yingliu 于 2017-5-12 15:37 编辑

https.jpg

Mozilla 常常提醒在线用户,当他们使用喜爱的浏览器(如Firefox)上网,准备在网站输入密码或其他隐私数据前,一定要先检查地址栏的开头有没有 HTTPS 和小锁的图案。除了这个好建议,还可以更深入了解 HTTPS 对于在线安全防护的作用与局限,以及如何进一步加强安全性。

信赖比加密更重要
在地址列上寻找小锁图案和 HTTPS,的确有助于防止用户在网站上提交的信息被攻击者所窃取。HTTPS 能确保互联网服务供货商(ISP)只看到用户所访问网站的顶级域名,而无法得知用户究竟访问了哪些网页。举例来说,ISP 能知道一个用户常上 Reddit 网站(https://www.reddit.com),但不能看到这个用户在爱猫版(https://www.reddit.com/r/CatGifs/)上访问时间最长。不过,虽然 HTTPS 可以保障在线通信的隐私和加密,却无法确保网站不是诈骗网站。

为什么呢?因为任何一种网站都可以采用 HTTPS 和加密机制,包括正派经营、值得信赖的网站,以及心怀不轨的恶意网站——诈骗集团、钓鱼网站、恶意软件散播者等等。

有人可能会觉得奇怪:为什么不法网站也能用 HTTPS 呢?

不法网站也能使用 HTTPS 的原因是,用户跟网站之间的联机虽有安全防护(由 HTTPS 提供),HTTPS 防护却无从得知其间传递的信息或传递者的动机为何。这就像打电话一样。若诈骗集团打来跟你要信用卡资料,需要负责判断真伪的不是电信公司,而是你。HTTPS 的作用是提供安全的联机,而不负责担保与用户联机的全都是正常安全的网站。没错,现实是残酷的,但想想看,诈骗份子大费周章地偷蒙拐骗,其目的不外乎一件事:从用户身上窃取信息后榨点钱。这种不法之事到处都有,不分线上线下。小心谨慎才能保住荷包!

如何发现诈骗网站?
这里用“制服”当例子。制服代表权威和信赖感。倘若有个穿着一身笔挺制服的人站在银行门外,声称自己是银行工作人员,要你把钱给他、由他代你存钱,你会相信他吗?当然不会!你一定会自己走进银行里存钱。所以用户们在线上也该有同样的防人之心。

诈骗份子既然都煞费苦心地骗人了,他们一定会披着亮丽的虚拟制服,想尽办法赢取用户的信任。例如,「网络钓鱼」是有心人士窃取身份的一种手段。钓鱼网站会假冒为正派经营的网站,要求访问者提供隐私数据,包括密码、银行账号或信用卡号等等。钓鱼攻击通常是从发送电子邮件开始,以此诱使邮件收件人到假冒但看似真实的网站上更新个人资料。这些不法的网站可能也会采用 HTTPS 来强调其正当性。

为保安全,用户们可以做以下几件事:
  • 不要点可疑的链接
有一次,有个用户收到一封信,信上说他的美国银行账户被冻结了,还要他点一下链接来解决问题。虽然那封信看起来很像是真的,但他根本没有美银的账户。那就是钓鱼放出线来引人上钩。假如这位用户有美银账户,可能会真的咬住那个饵而点下链接。比较安全的做法是直接到美国银行的官方网站,或打电话给他们确定信件的真实性。

如果有人寄信给你,说你的银行账户被冻结,或是PayPal 账号有问题,又或者有未付款的账单,而且信件内容看起来很正常,无论你觉得对方有多么可信,都不要按电子邮件中的链接。请直接与信中自称所属的机构联系。

  • 看到警告要停步
Firefox有内建的钓鱼及恶意软件防护功能,可在用户访问通报为恶意网站的网页时主动提供警告。如果用户发现浏览器出现警告信息(例如这个),请点击「关闭网页」的按键。

HTTPS 不可或缺
用户常用的大多数网站都已采用 HTTPS,尤其是国外,包括:搜索引擎、金融机构、媒体平台、购物网站等等。但HTTPS 尚未全面普及,还是有些网站没有使用 HTTPS。

对网站来说,启用 HTTPS 一点也不麻烦。网站主只需向证书机构(CA)取得 HTTPS 凭证即可。为了造福整个互联网环境,2015年12月,Mozilla 与 Cisco、Akamai、EFF和美国密歇根大学连手设立了自动化的免费开源 CA 证书——「一起来加密」(Let’s Encrypt)。

如果 HTTPS 能全面普及,就可为每位互联网用户创造出更安全的环境,而能提高互联网整体的健康度。它能保障数据的完整性,以免网站遭窜改;它也具备认证功能,进而帮助用户确定自己连上的是安全网站,而非攻击者的恶意网站。安全防护的环境、数据完整性和认证——这三点缺一不可。不安全的网站越多,互联网便会面临更高的风险。

如果用户发现有网站尚未启用 HTTPS,不妨鼓励此网站改用 HTTPS。可以发邮件给网站、或到其客服窗口留言,让其知道 HTTPS 非常重要。建议用户可以这么写:“嗨,某网站,我很喜欢你们的网站,但我发现你们不够安全。你们可以向https://letsencrypt.org/ 申请 HTTPS 证书来加强对网站和访问者的安全防护。” 如果你就是网站主,请记得帮网站加密,因为这不仅有助于保护你自己和你的网站访客,还能为增进 Web 安全尽一份力

与此同时,请与亲朋好友分享这篇文章,帮助他们了解 HTTPS 对于保障在线安全的作用与局限。

310971373 狐狸精
发表于 2017-5-15 11:22:57 | 显示全部楼层
沙发沙发,网络安全是必须,也是坚决要大力度关注的领域。
花拳绣腿 狐狸仔
发表于 2017-6-20 01:34:13 | 显示全部楼层
学习基本知识,防范诈骗网站
宽大守信 社区新人
发表于 2017-6-27 11:07:34 | 显示全部楼层
主要运营商挟持太严重了 HTTPS是后期主流
123
zhenyun1688 社区新人
发表于 2017-7-4 12:43:25 | 显示全部楼层
Most of the websites used by users have adopted HTTPS, especially in foreign cou**ies, including search engines, financial institutions, media platforms, shopping websites and so on. But HTTPS is not yet fully available, and some sites do not use HTTPS.

For web sites, enabling HTTPS is no trouble at all. The site owner only needs to obtain HTTPS credentials from the certificate authority (CA). In order to benefit the entire Internet environment, www.zhenkongshexiangtou.com in December 2015, Mozilla and Cisco, Akamai, EFF and University of Michigan jointly set up a free and open source CA automation -- "a certificate encryption" (Let 's Encrypt).
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发新帖
论坛更多 »
热门活动更多 »
火狐微信
快速回复 返回顶部 返回列表