網(wǎng)頁(yè)安全：網(wǎng)站應(yīng)盡快導(dǎo)入SSL/TLS

最近在網(wǎng)站上非常熱門(mén)的FireFox擴(kuò)充軟件Firesheep，很可能被用來(lái)當(dāng)成黑客工具。該程序的作者表示，之所以設(shè)計(jì)這個(gè)軟件，并非用來(lái)盜取個(gè)人資料，而是想借由這個(gè)軟件，呼吁各大網(wǎng)站重視用戶(hù)瀏覽網(wǎng)頁(yè)的安全。

網(wǎng)絡(luò)使用者在媒體的長(zhǎng)期教育下，已經(jīng)知道如何保護(hù)自己不被Firesheep這樣的軟件攻擊，或是知道如何安全使用無(wú)線網(wǎng)絡(luò)。但對(duì)于網(wǎng)站管理員來(lái)說(shuō)，目前仍看不到有什么具體的行動(dòng)讓網(wǎng)站本身更安全。

在Google網(wǎng)絡(luò)論壇上的Firesheep討論區(qū)中，有大概143則討論，大部分都是關(guān)于技術(shù)支持的問(wèn)題，卻從來(lái)沒(méi)有一個(gè)網(wǎng)站管理者詢(xún)問(wèn)如何在網(wǎng)站導(dǎo)入TLS或SSL，以讓網(wǎng)站更安全。

根據(jù)AccessNow針對(duì)前100大網(wǎng)站所做的分析顯示，只有一個(gè)網(wǎng)站正確使用TLS/SSL安全機(jī)制，那就是PayPal。也就是說(shuō)使用者從登入PayPal到完成結(jié)帳手續(xù)離開(kāi)的整個(gè)過(guò)程中，使用者的個(gè)人資料都有被加密，有效保障資料的安全。

至于其他網(wǎng)站則有可能讓你的個(gè)人資料暴露在Firesheep的安全威脅下，除非使用者安裝其他FireFox的擴(kuò)充套件像是HTTPS Everywhere或Force TLS。否則將無(wú)法保證使用者在瀏覽每個(gè)網(wǎng)頁(yè)時(shí)，資料都有被加密不被盜取。

AccessNow的報(bào)告中指出，只有Adobe、Hotfile、Mozilla與GoDaddy這些網(wǎng)站可以讓你手動(dòng)保護(hù)所有的網(wǎng)站使用安全。而其他熱門(mén)網(wǎng)站象是Google、Facebook以及YouTube，即使是使用者自行使用安全保護(hù)措施，仍無(wú)法保證所有的網(wǎng)頁(yè)瀏覽都是在安全的情況下。

大部分的熱門(mén)網(wǎng)站，像是搜索引擎百度、維基百科以及不同國(guó)家及地區(qū)版本的Google，如Google印度及Google香港，都不提供加密鏈接的保護(hù)。以Google為例，如果你在某國(guó)家的Google強(qiáng)制使用安全鏈接，Google將會(huì)直接把你導(dǎo)向不加密的Google美國(guó)站點(diǎn)。

如果連熱門(mén)網(wǎng)站都無(wú)法確保網(wǎng)站的安全，那廣大的使用者又能做些什么來(lái)保護(hù)自己呢?AccessNow建議簽署請(qǐng)?jiān)笗?shū)給這些全球前百大熱門(mén)網(wǎng)站的CEO，強(qiáng)調(diào)使用者對(duì)于網(wǎng)絡(luò)使用安全的渴求，并要求這些網(wǎng)站立即在所有網(wǎng)頁(yè)中安裝HTTPS。

也許聯(lián)署請(qǐng)?jiān)傅姆绞讲o(wú)法獲得立即的成效，但仍值得一試。筆者也曾見(jiàn)過(guò)在用戶(hù)因?yàn)闉g覽某些網(wǎng)頁(yè)而被其他Firesheep使用者竊取重要的個(gè)人資料后，該網(wǎng)站開(kāi)始導(dǎo)入自動(dòng)安全連接。也許等到有一天，這樣的安全問(wèn)題擴(kuò)大，甚至導(dǎo)致網(wǎng)站被告的時(shí)候，他們就會(huì)乖乖的建置網(wǎng)站安全措施。