漫談SSL、瀏覽器與安全連接

Win7之家（ www.afsion.com.cn）：漫談SSL、瀏覽器與安全連接

　　借助SSL，可以鑒別網(wǎng)站和網(wǎng)頁瀏覽者身份，使得瀏覽器與網(wǎng)頁服務器之間能夠進行加密通信，保證連接的安全，保護用戶的私人信息不受攻擊。

　　2008年8月在美國拉斯維加斯舉行的第12屆黑客大會上，有網(wǎng)絡工程師表示，他開發(fā)了一個工具，可利用SSL的漏洞，在人們登錄郵箱、查看網(wǎng)頁或在線交易時竊取其帳號、密碼、郵件內(nèi)容等信息。這讓我們再次注意到SSL這個最早由網(wǎng)景公司于1995年創(chuàng)建的安全技術，以及Web安全連接的重要性。

　　2008年9月初，Google在全球100多個國家和地區(qū)同步推出了自己的瀏覽器Chrome的測試版，除了界面簡潔和一些功能創(chuàng)新之外，Google在瀏覽器的安全設置上也加大了對SSL的使用，以期讓用戶能更加安全地通過瀏覽器進行各種操作。

　　在一個沒有暴力、沒有偷盜、路不拾遺的環(huán)境里，人們不會擔心自身財產(chǎn)的安全，不用設立警察局和監(jiān)獄來防范和懲治可能面臨的危險。同樣，早期的互聯(lián)網(wǎng)天下太平，瀏覽器也只是被用來訪問靜態(tài)的頁面。后來，信用卡購物、在線銀行、電子股票交易等應用越來越多，網(wǎng)絡犯罪也日漸猖獗，迫切需要安全的連接。為此，SSL應運而生，隨后被包括IE在內(nèi)的瀏覽器所廣泛采用。目前，SSL技術已幾乎應用到所有主要的瀏覽器和Web服務器程序。借助SSL，可以鑒別網(wǎng)站和網(wǎng)頁瀏覽者身份，使得瀏覽器與網(wǎng)頁服務器之間能夠進行加密通信，保證連接的安全，保護用戶的私人信息不受攻擊。

　　但是，一部法律再完備，也未必能得到有效執(zhí)行，何況法律本身往往問題疊出。從1995年到1996年，SSL歷經(jīng)了三個版本。網(wǎng)景公司在1996年把SSL移交給互聯(lián)網(wǎng)工程任務組(IETF)進行標準化，于是產(chǎn)生了TLS，也被稱為SSL3.1版。盡管IETF只針對SSL所做的變化非常小，但即使這些小小的變化也足以使SSL3.0與TLS無法互相操作。同時我們也發(fā)現(xiàn)，SSL3.0也沒有完全替代SSL2.0。版本混亂衍生出一系列難題，使網(wǎng)站服務商和用戶都需要額外的工作來保證彼此之間的兼容性，實現(xiàn)有效的安全連接。然而，很多網(wǎng)站服務商并不愿意花費更多的勞動去解決問題，更不幸的是，絕大多數(shù)用戶并不了解這些，他們通常只會使用瀏覽器和網(wǎng)頁服務器的默認設置，等到真正出現(xiàn)連接問題，比如郵件內(nèi)容泄漏，才有可能意識到連接安全的必要。

　　眾所周知，在默認情況下啟用無線路由器，無需密碼認證就能與路由器實現(xiàn)連接，這在帶來便利的同時也帶來了安全隱患。同樣，很多時候瀏覽器和網(wǎng)頁服務器之間的默認設置并沒有使用SSL，也就是說我們在非加密的條件下和服務器交換各種信息，這給攻擊者提供了絕佳的機會。為什么網(wǎng)站服務商不提供永久性的SSL以對用戶的所有操作進行加密？這個問題似乎很難回答。不過，有一點可以肯定，這就是為了服務商以及用戶操作快捷、方便。SSL的作用是處理壓縮和加密，這在無形中會給服務商帶來更多的工作，也影響用戶的訪問速度。這就是為什么有些加密方法只在網(wǎng)上銀行上使用的原因。想必用過網(wǎng)上銀行的人都有所體會。所以，在便利和安全之間找到平衡點是今后有責任心的網(wǎng)絡公司需要做的事情。

　　像病毒常常在局域網(wǎng)內(nèi)泛濫一樣，如果局域網(wǎng)本身安全功能不理想，即使有SSL護駕，也難免漏洞百出，尤其當局域網(wǎng)內(nèi)有無線接口的時候。802.11網(wǎng)絡的有效范圍通常在幾百米，如果一個人想要暗中監(jiān)視一家公司，那么他只需早晨開車到該公司的停車場，把一臺支持802.11協(xié)議的筆記本電腦留在車內(nèi)以便記錄下所有監(jiān)聽到的內(nèi)容即可。到傍晚，該電腦的硬盤上就充滿了各種有價值的信息。在理論上，這種泄漏是不應該發(fā)生的。同樣地，在理論上，人們是不應該去搶劫銀行的。