網(wǎng)頁安全：網(wǎng)站應(yīng)盡快導(dǎo)入SSL/TLS

最近在網(wǎng)站上非常熱門的FireFox擴(kuò)充軟件Firesheep，很可能被用來當(dāng)成黑客工具。該程序的作者表示，之所以設(shè)計(jì)這個(gè)軟件，并非用來盜取個(gè)人資料，而是想借由這個(gè)軟件，呼吁各大網(wǎng)站重視用戶瀏覽網(wǎng)頁的安全。

網(wǎng)絡(luò)使用者在媒體的長期教育下，已經(jīng)知道如何保護(hù)自己不被Firesheep這樣的軟件攻擊，或是知道如何安全使用無線網(wǎng)絡(luò)。但對于網(wǎng)站管理員來說，目前仍看不到有什么具體的行動(dòng)讓網(wǎng)站本身更安全。

在Google網(wǎng)絡(luò)論壇上的Firesheep討論區(qū)中，有大概143則討論，大部分都是關(guān)于技術(shù)支持的問題，卻從來沒有一個(gè)網(wǎng)站管理者詢問如何在網(wǎng)站導(dǎo)入TLS或SSL，以讓網(wǎng)站更安全。

根據(jù)AccessNow針對前100大網(wǎng)站所做的分析顯示，只有一個(gè)網(wǎng)站正確使用TLS/SSL安全機(jī)制，那就是PayPal。也就是說使用者從登入PayPal到完成結(jié)帳手續(xù)離開的整個(gè)過程中，使用者的個(gè)人資料都有被加密，有效保障資料的安全。

至于其他網(wǎng)站則有可能讓你的個(gè)人資料暴露在Firesheep的安全威脅下，除非使用者安裝其他FireFox的擴(kuò)充套件像是HTTPS Everywhere或Force TLS。否則將無法保證使用者在瀏覽每個(gè)網(wǎng)頁時(shí)，資料都有被加密不被盜取。

AccessNow的報(bào)告中指出，只有Adobe、Hotfile、Mozilla與GoDaddy這些網(wǎng)站可以讓你手動(dòng)保護(hù)所有的網(wǎng)站使用安全。而其他熱門網(wǎng)站象是Google、Facebook以及YouTube，即使是使用者自行使用安全保護(hù)措施，仍無法保證所有的網(wǎng)頁瀏覽都是在安全的情況下。

大部分的熱門網(wǎng)站，像是搜索引擎百度、維基百科以及不同國家及地區(qū)版本的Google，如Google印度及Google香港，都不提供加密鏈接的保護(hù)。以Google為例，如果你在某國家的Google強(qiáng)制使用安全鏈接，Google將會(huì)直接把你導(dǎo)向不加密的Google美國站點(diǎn)。

如果連熱門網(wǎng)站都無法確保網(wǎng)站的安全，那廣大的使用者又能做些什么來保護(hù)自己呢?AccessNow建議簽署請?jiān)笗o這些全球前百大熱門網(wǎng)站的CEO，強(qiáng)調(diào)使用者對于網(wǎng)絡(luò)使用安全的渴求，并要求這些網(wǎng)站立即在所有網(wǎng)頁中安裝HTTPS。

也許聯(lián)署請?jiān)傅姆绞讲o法獲得立即的成效，但仍值得一試。筆者也曾見過在用戶因?yàn)闉g覽某些網(wǎng)頁而被其他Firesheep使用者竊取重要的個(gè)人資料后，該網(wǎng)站開始導(dǎo)入自動(dòng)安全連接。也許等到有一天，這樣的安全問題擴(kuò)大，甚至導(dǎo)致網(wǎng)站被告的時(shí)候，他們就會(huì)乖乖的建置網(wǎng)站安全措施。