Win7之家( afsion.com.cn):漫談SSL、瀏覽器與安全連接
借助SSL,可以鑒別網(wǎng)站和網(wǎng)頁瀏覽者身份,使得瀏覽器與網(wǎng)頁服務(wù)器之間能夠進行加密通信,保證連接的安全,保護用戶的私人信息不受攻擊。
2008年8月在美國拉斯維加斯舉行的第12屆黑客大會上,有網(wǎng)絡(luò)工程師表示,他開發(fā)了一個工具,可利用SSL的漏洞,在人們登錄郵箱、查看網(wǎng)頁或在線交易時竊取其帳號、密碼、郵件內(nèi)容等信息。這讓我們再次注意到SSL這個最早由網(wǎng)景公司于1995年創(chuàng)建的安全技術(shù),以及Web安全連接的重要性。
2008年9月初,Google在全球100多個國家和地區(qū)同步推出了自己的瀏覽器Chrome的測試版,除了界面簡潔和一些功能創(chuàng)新之外,Google在瀏覽器的安全設(shè)置上也加大了對SSL的使用,以期讓用戶能更加安全地通過瀏覽器進行各種操作。
在一個沒有暴力、沒有偷盜、路不拾遺的環(huán)境里,人們不會擔(dān)心自身財產(chǎn)的安全,不用設(shè)立警察局和監(jiān)獄來防范和懲治可能面臨的危險。同樣,早期的互聯(lián)網(wǎng)天下太平,瀏覽器也只是被用來訪問靜態(tài)的頁面。后來,信用卡購物、在線銀行、電子股票交易等應(yīng)用越來越多,網(wǎng)絡(luò)犯罪也日漸猖獗,迫切需要安全的連接。為此,SSL應(yīng)運而生,隨后被包括IE在內(nèi)的瀏覽器所廣泛采用。目前,SSL技術(shù)已幾乎應(yīng)用到所有主要的瀏覽器和Web服務(wù)器程序。借助SSL,可以鑒別網(wǎng)站和網(wǎng)頁瀏覽者身份,使得瀏覽器與網(wǎng)頁服務(wù)器之間能夠進行加密通信,保證連接的安全,保護用戶的私人信息不受攻擊。
但是,一部法律再完備,也未必能得到有效執(zhí)行,何況法律本身往往問題疊出。從1995年到1996年,SSL歷經(jīng)了三個版本。網(wǎng)景公司在1996年把SSL移交給互聯(lián)網(wǎng)工程任務(wù)組(IETF)進行標準化,于是產(chǎn)生了TLS,也被稱為SSL3.1版。盡管IETF只針對SSL所做的變化非常小,但即使這些小小的變化也足以使SSL3.0與TLS無法互相操作。同時我們也發(fā)現(xiàn),SSL3.0也沒有完全替代SSL2.0。版本混亂衍生出一系列難題,使網(wǎng)站服務(wù)商和用戶都需要額外的工作來保證彼此之間的兼容性,實現(xiàn)有效的安全連接。然而,很多網(wǎng)站服務(wù)商并不愿意花費更多的勞動去解決問題,更不幸的是,絕大多數(shù)用戶并不了解這些,他們通常只會使用瀏覽器和網(wǎng)頁服務(wù)器的默認設(shè)置,等到真正出現(xiàn)連接問題,比如郵件內(nèi)容泄漏,才有可能意識到連接安全的必要。
眾所周知,在默認情況下啟用無線路由器,無需密碼認證就能與路由器實現(xiàn)連接,這在帶來便利的同時也帶來了安全隱患。同樣,很多時候瀏覽器和網(wǎng)頁服務(wù)器之間的默認設(shè)置并沒有使用SSL,也就是說我們在非加密的條件下和服務(wù)器交換各種信息,這給攻擊者提供了絕佳的機會。為什么網(wǎng)站服務(wù)商不提供永久性的SSL以對用戶的所有操作進行加密?這個問題似乎很難回答。不過,有一點可以肯定,這就是為了服務(wù)商以及用戶操作快捷、方便。SSL的作用是處理壓縮和加密,這在無形中會給服務(wù)商帶來更多的工作,也影響用戶的訪問速度。這就是為什么有些加密方法只在網(wǎng)上銀行上使用的原因。想必用過網(wǎng)上銀行的人都有所體會。所以,在便利和安全之間找到平衡點是今后有責(zé)任心的網(wǎng)絡(luò)公司需要做的事情。
像病毒常常在局域網(wǎng)內(nèi)泛濫一樣,如果局域網(wǎng)本身安全功能不理想,即使有SSL護駕,也難免漏洞百出,尤其當局域網(wǎng)內(nèi)有無線接口的時候。802.11網(wǎng)絡(luò)的有效范圍通常在幾百米,如果一個人想要暗中監(jiān)視一家公司,那么他只需早晨開車到該公司的停車場,把一臺支持802.11協(xié)議的筆記本電腦留在車內(nèi)以便記錄下所有監(jiān)聽到的內(nèi)容即可。到傍晚,該電腦的硬盤上就充滿了各種有價值的信息。在理論上,這種泄漏是不應(yīng)該發(fā)生的。同樣地,在理論上,人們是不應(yīng)該去搶劫銀行的。
評論列表
查看所有 條評論