请选择 进入手机版 | 继续访问电脑版
Mozilla

火狐社区

登录    注册

用新浪微博连接 QQ互联

HTTPS与在线安全

yingliu Mozilla员工 发表于 2017-5-12 15:35:43 | 显示全部楼层 [复制链接]
1 624
本帖最后由 yingliu 于 2017-5-12 15:37 编辑

https.jpg

Mozilla 常常提醒在线用户,当他们使用喜爱的浏览器(如Firefox)上网,准备在网站输入密码或其他隐私数据前,一定要先检查地址栏的开头有没有 HTTPS 和小锁的图案。除了这个好建议,还可以更深入了解 HTTPS 对于在线安全防护的作用与局限,以及如何进一步加强安全性。

信赖比加密更重要
在地址列上寻找小锁图案和 HTTPS,的确有助于防止用户在网站上提交的信息被攻击者所窃取。HTTPS 能确保互联网服务供货商(ISP)只看到用户所访问网站的顶级域名,而无法得知用户究竟访问了哪些网页。举例来说,ISP 能知道一个用户常上 Reddit 网站(https://www.reddit.com),但不能看到这个用户在爱猫版(https://www.reddit.com/r/CatGifs/)上访问时间最长。不过,虽然 HTTPS 可以保障在线通信的隐私和加密,却无法确保网站不是诈骗网站。

为什么呢?因为任何一种网站都可以采用 HTTPS 和加密机制,包括正派经营、值得信赖的网站,以及心怀不轨的恶意网站——诈骗集团、钓鱼网站、恶意软件散播者等等。

有人可能会觉得奇怪:为什么不法网站也能用 HTTPS 呢?

不法网站也能使用 HTTPS 的原因是,用户跟网站之间的联机虽有安全防护(由 HTTPS 提供),HTTPS 防护却无从得知其间传递的信息或传递者的动机为何。这就像打电话一样。若诈骗集团打来跟你要信用卡资料,需要负责判断真伪的不是电信公司,而是你。HTTPS 的作用是提供安全的联机,而不负责担保与用户联机的全都是正常安全的网站。没错,现实是残酷的,但想想看,诈骗份子大费周章地偷蒙拐骗,其目的不外乎一件事:从用户身上窃取信息后榨点钱。这种不法之事到处都有,不分线上线下。小心谨慎才能保住荷包!

如何发现诈骗网站?
这里用“制服”当例子。制服代表权威和信赖感。倘若有个穿着一身笔挺制服的人站在银行门外,声称自己是银行工作人员,要你把钱给他、由他代你存钱,你会相信他吗?当然不会!你一定会自己走进银行里存钱。所以用户们在线上也该有同样的防人之心。

诈骗份子既然都煞费苦心地骗人了,他们一定会披着亮丽的虚拟制服,想尽办法赢取用户的信任。例如,「网络钓鱼」是有心人士窃取身份的一种手段。钓鱼网站会假冒为正派经营的网站,要求访问者提供隐私数据,包括密码、银行账号或信用卡号等等。钓鱼攻击通常是从发送电子邮件开始,以此诱使邮件收件人到假冒但看似真实的网站上更新个人资料。这些不法的网站可能也会采用 HTTPS 来强调其正当性。

为保安全,用户们可以做以下几件事:
  • 不要点可疑的链接
有一次,有个用户收到一封信,信上说他的美国银行账户被冻结了,还要他点一下链接来解决问题。虽然那封信看起来很像是真的,但他根本没有美银的账户。那就是钓鱼放出线来引人上钩。假如这位用户有美银账户,可能会真的咬住那个饵而点下链接。比较安全的做法是直接到美国银行的官方网站,或打电话给他们确定信件的真实性。

如果有人寄信给你,说你的银行账户被冻结,或是PayPal 账号有问题,又或者有未付款的账单,而且信件内容看起来很正常,无论你觉得对方有多么可信,都不要按电子邮件中的链接。请直接与信中自称所属的机构联系。

  • 看到警告要停步
Firefox有内建的钓鱼及恶意软件防护功能,可在用户访问通报为恶意网站的网页时主动提供警告。如果用户发现浏览器出现警告信息(例如这个),请点击「关闭网页」的按键。

HTTPS 不可或缺
用户常用的大多数网站都已采用 HTTPS,尤其是国外,包括:搜索引擎、金融机构、媒体平台、购物网站等等。但HTTPS 尚未全面普及,还是有些网站没有使用 HTTPS。

对网站来说,启用 HTTPS 一点也不麻烦。网站主只需向证书机构(CA)取得 HTTPS 凭证即可。为了造福整个互联网环境,2015年12月,Mozilla 与 Cisco、Akamai、EFF和美国密歇根大学连手设立了自动化的免费开源 CA 证书——「一起来加密」(Let’s Encrypt)。

如果 HTTPS 能全面普及,就可为每位互联网用户创造出更安全的环境,而能提高互联网整体的健康度。它能保障数据的完整性,以免网站遭窜改;它也具备认证功能,进而帮助用户确定自己连上的是安全网站,而非攻击者的恶意网站。安全防护的环境、数据完整性和认证——这三点缺一不可。不安全的网站越多,互联网便会面临更高的风险。

如果用户发现有网站尚未启用 HTTPS,不妨鼓励此网站改用 HTTPS。可以发邮件给网站、或到其客服窗口留言,让其知道 HTTPS 非常重要。建议用户可以这么写:“嗨,某网站,我很喜欢你们的网站,但我发现你们不够安全。你们可以向https://letsencrypt.org/ 申请 HTTPS 证书来加强对网站和访问者的安全防护。” 如果你就是网站主,请记得帮网站加密,因为这不仅有助于保护你自己和你的网站访客,还能为增进 Web 安全尽一份力

与此同时,请与亲朋好友分享这篇文章,帮助他们了解 HTTPS 对于保障在线安全的作用与局限。

310971373 狐狸精
发表于 2017-5-15 11:22:57 | 显示全部楼层
沙发沙发,网络安全是必须,也是坚决要大力度关注的领域。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发新帖
论坛更多 »
火狐微信
快速回复 返回顶部 返回列表