HTTPS是站安全問題救世主嗎

近日鬧的沸沸揚揚的網(wǎng)易郵箱數(shù)據(jù)泄露事件繼續(xù)發(fā)酵,幾日前烏云稱,根據(jù)白帽子報告,網(wǎng)易郵箱的用戶數(shù)據(jù)庫疑似泄露,數(shù)量多達5億條,其中包括用戶名、密碼、密碼提示問題和答案、注冊IP地址、生日等等,部分數(shù)據(jù)甚至已經(jīng)在網(wǎng)上流傳。但隨后遭到易否認,稱不存在自身數(shù)據(jù)庫泄露問題。而國家互聯(lián)網(wǎng)應(yīng)急中心昨天通報稱,網(wǎng)易郵箱存在泄露情況,但不支持“過億數(shù)據(jù)泄露”這一判斷。

無論爭相如何,網(wǎng)絡(luò)安全形勢嚴峻已是不爭的事實,而上個星期百略網(wǎng)也無端遭受了外部網(wǎng)絡(luò)攻擊,導(dǎo)致了一天的宕機。事實上我們對這種無良行為深惡痛絕,但在譴責(zé)這種犯罪行徑的同時,網(wǎng)絡(luò)安全也必須引起足夠的重視。

網(wǎng)站安全形勢嚴峻

從去年的iCloud好萊塢明星艷照、到Gmail、eBay數(shù)據(jù)泄密;從索尼遭遇黑客攻擊到12306網(wǎng)站用戶信息被出售,網(wǎng)絡(luò)安全事件層出窮,且有越演越烈的趨勢。

據(jù)360年初發(fā)布的2014年中國網(wǎng)站安全報告稱:

中國網(wǎng)站存在后門的網(wǎng)站數(shù)量大幅攀升

《報告》披露,目前有漏洞和高危漏洞的網(wǎng)站比例較2013年大幅下降,但網(wǎng)站存在后門的比例和絕對數(shù)量卻大幅攀升。2014年全年,360網(wǎng)站安全檢測共對覆蓋網(wǎng)站199.6萬個的8409臺網(wǎng)站服務(wù)器進行了網(wǎng)站后門檢測,發(fā)現(xiàn)約3465臺服務(wù)器存在后門,占比41.2%,比2013年增多了7.4個百分點。

來自互聯(lián)網(wǎng)協(xié)會的網(wǎng)站安全報告也顯示

2013年,互聯(lián)網(wǎng)黑客地下產(chǎn)業(yè)仍然較為活躍,針對中國互聯(lián)網(wǎng)站的篡改、后門攻擊事件數(shù)量呈現(xiàn)逐年上升趨勢,其中政府網(wǎng)站是重要的攻擊目標。

據(jù)了解網(wǎng)站遭受攻擊方式則主要有以下3種方式

網(wǎng)站篡改與后門

2014年全年,360網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站164.2萬個,其中,被篡改的網(wǎng)站17.7萬個,約占掃描網(wǎng)站總數(shù)的10.8%。這也直接導(dǎo)致了釣魚網(wǎng)站的增多。而這些被篡改的網(wǎng)站也導(dǎo)致了用戶的信息泄露,繼而受到電信、網(wǎng)絡(luò)詐騙。

通過對8409臺網(wǎng)站服務(wù)器進行了網(wǎng)站后門檢測,覆蓋網(wǎng)站199.6萬個,掃描共發(fā)現(xiàn)約3465臺服務(wù)器存在后門,占所有掃描網(wǎng)站服務(wù)器的41.2%。統(tǒng)計顯示,服務(wù)器刪除新發(fā)現(xiàn)后門的平均周期為8.28天。這種后門漏洞也導(dǎo)致了大量網(wǎng)站頻繁被黑。

漏洞攻擊

2014年全年,360網(wǎng)站衛(wèi)士共攔截各類網(wǎng)站漏洞攻擊7.0億次,平均每天攔截漏洞攻擊209.6萬次。

平均每月有11.0萬個網(wǎng)站遭遇各類漏洞攻擊,其中,11月是網(wǎng)站遭遇漏洞攻擊最為頻繁的一個月,平均每天約有6667個網(wǎng)站遭到漏洞攻擊。

流量攻擊

流量攻擊一般分為兩類:

1.通過帶有欺騙性的合法大量數(shù)據(jù)請求,大流量像洪水一樣來壓垮網(wǎng)絡(luò)設(shè)備和服務(wù)器;(類似于將通道堵塞,使交通癱瘓)

2.有意制造大量無法完成的不完全請求來快速消耗計算資源,使服務(wù)器沒辦法處理正常的事物和請求。(類似于不斷打騷擾電話,讓服務(wù)器沒辦法正常工作)

2014年全年,360網(wǎng)站衛(wèi)士共攔截各類CC攻擊205.0億次,平均每天攔截CC攻擊6138萬次。統(tǒng)計顯示,全年共有15.6萬個網(wǎng)站被遭遇CC攻擊。

全年,360網(wǎng)站衛(wèi)士平均每月攔截各類DDoS攻擊744.4Gb/s。5月(1389Gb/s)和7月(1444Gb/s)是全年攔截DDoS攻擊的高峰期。

網(wǎng)站安全問題頻繁,呼喚HTTPS

面對嚴峻的安全形勢,專家一直呼吁網(wǎng)站能用上加密技術(shù)。比如目前,計算機業(yè)界以及美國政府正在發(fā)起聲勢浩大、牽涉面極廣的網(wǎng)站加密運動,即HTTPS。

HTTPS是一種網(wǎng)站加密技術(shù),在說HTTPS之前先講什么是HTTP,HTTP就是我們平時瀏覽網(wǎng)頁時候使用的一種協(xié)議。HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的,也就是明文的,因此使HTTP協(xié)議傳輸隱私信息非常不安全。為了保證這些隱私數(shù)據(jù)能加密傳輸,二十年前,網(wǎng)景公司設(shè)計了SSL(SecureSocketsLayer)協(xié)議用于對HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進行加密,從而就誕生了HTTPS。簡單講是HTTP的安全版。

繼谷歌之后,百度也在今年年初已經(jīng)實現(xiàn)全站HTTPS加密搜索,不過我國網(wǎng)站的HTTPS加密普及率仍舊較低,HTTPS加密未來在中國仍然有很長一段路程要走。

HTTPS能解決網(wǎng)站安全問題嗎

不過網(wǎng)絡(luò)安全是一項系統(tǒng)的工程,涉及到個人計算機的安全,協(xié)議的安全,傳輸數(shù)據(jù)的安全,以及軟件開發(fā)公司和網(wǎng)站的安全,單純的依靠一個HTTPS協(xié)議并不能解決所有的問題。

因此雖然采用HTTPS協(xié)議確實可以讓網(wǎng)站的安全性大大提高,但是HTTPS協(xié)議所針對的加密范圍較為有限,在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面卻起不到什么作用。

要不要采用HTTPS

那么“到底該不該采用HTTPS協(xié)議呢?”如果也有這個疑問的話,就想想怎樣做對你的用戶更友好吧!

如果網(wǎng)站屬于資金安全的電子商務(wù)、金融、以及用戶隱私的社交網(wǎng)絡(luò)等領(lǐng)域的話,那最好是采用HTTPS協(xié)議;反之;如果只是獲取信息的博客、宣傳類網(wǎng)站、分類信息網(wǎng)站、抑或是新聞網(wǎng)站等不要求用戶登錄的,可不必跟風(fēng)。畢竟使用HTTPS協(xié)議既耗錢,又浪費精力,甚至由于加載緩慢,服務(wù)器資源占用高等原因在一定程度上不利于用戶的瀏覽體驗。

正如360在分析報告中稱:企業(yè)網(wǎng)站與管理系統(tǒng)的主要安全問題往往并不是那些技術(shù)復(fù)雜度很高的網(wǎng)站漏洞,而是一些比較低級的技術(shù)錯誤或人為的失誤,主要表現(xiàn)在以下三個方面:密碼安全性不足、運維配置不當、SQL注入漏洞。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2015-10-23
HTTPS是站安全問題救世主嗎
近日鬧的沸沸揚揚的網(wǎng)易郵箱數(shù)據(jù)泄露事件繼續(xù)發(fā)酵,幾日前烏云稱,根據(jù)白帽子報告,網(wǎng)易郵箱的用戶數(shù)據(jù)庫疑似泄露,數(shù)量多達5億條,其中包

長按掃碼 閱讀全文