联系电话:0571-88861664
技术支持邮箱:support@hzca.org.cn

全站https解决方案,必需留一份!必看!

编辑:admin 时间:2016-09-23内容来源:未知图片来源:未知

人们的生活现在已经越来越离不开互联网,不管是社交、购物还是搜索,互联网都能带给人们很多的便捷。与此同时,用户“裸露”在互联网的信息也越来越多,另一个问题也日益严重,那就是隐私和安全。
 
    几乎所有的互联网公司都存在用户隐私泄露和流量劫持的风险。大型互联网公司树大招风,这方面的问题尤其严重。例如用户搜索的关键词很容易被第三方截获,并私下通过电话或者其他广告形式骚扰用户,不但商家投放的网络广告投入受到损失,用户也会对商家产生信任危机。
 
    近年来,随着互联网的高速发展,以网络为媒介赚取非法利益的情况日趋严重, HTTP劫持非但没有收敛,反而变本加厉,玩出了新花样:比如少数地方电信运营商通过HTTP劫持强行向用户推送广告;比如在PC端或者移动端下载软件被莫名替换;比如宽带运营商劫持网站域名或404错误页面等多种形式的运营商劫持事件
 
    保护用户隐私是任何一个想要长期发展的互联网公司的安身立命之本,如果用户发现使用一个公司的产品存在严重的隐私泄露问题,显然不会再信任该公司的产品,最终该公司也会因为用户大量流失而陷入危机。
 
网络安全事件不断爆发,HTTP协议隐患不可不察
 
    目前的WEB应用和网站绝大部分是基于HTTP协议。HTTP协议简单方便,易于部署,但设计之初没有考虑安全性,所有内容都是明文传输,也就为现在的安全问题埋下了隐患。用户在基于HTTP协议的WEB应用上的传输内容都可以被中间者轻易查看和修改。
 
    比如你在百度搜索了一个关键词“https“,中间者通过tcpdump或者wireshark等工具就很容易知道发送请求的全部内容。wireshark的截图如下:
 
             
 
    中间者是指网络传输内容需要经过的网络节点,既有硬件也有软件,比如中间代理服务器、路由器、小区WIFI热点、公司统一网关出口等。最容易拿到用户内容的就是各种通信服务运营商和二级网络带宽提供商。而最有可能被第三方黑客动手脚的就是离用户相对较近的节点。
 
    中间者为了利益会查看或者修改用户真实请求内容。常见几种危害较大的中间内容劫持形式如下:
 
    1、  Wifi流量劫持,由于登陆页面的安全性不够,明文传输的网页,总是能轻而易举的注入脚本代码,导致支付宝等重要账号被非法截获。
    2、  数据库泄密,黑客一般会攻击未打补丁的数据库漏洞,而企业数据库中又含有最重要的机密,比如客户名单、工资记录等结构化敏感数据。企业有时测试数据库留在生产服务器上,或者把敏感数据链接到网络应用中, 因为数据传输过程不加密,导致极有可能被黑客轻松窃取。
    3、  钓鱼网站是网络用户最常见的网络侵害,由于网站不采用数据正确的数据加密方式运营,导致数据传输途中被窃取,整个信息传递的过程数据丢失了完整性、数据被第三方监听或数据发送到错误的服务器。
    4、  电信运营商劫持获取无线用户的手机号和搜索内容并私下通过电话广告骚扰用户。
    5、  网络运营商劫持,在用户目的网站返回的内容里添加第三方内容,比如广告、钓鱼链接、植入木马等。
由于HTTP明文传输,同时中间内容劫持的利益巨大,所以用户隐私泄露的风险非常高。但如果在数据传输的过程中提供身份验证与数据加密通讯措施,那运营商劫持的乱象就可以完全被杜绝。
 
全站https安全防护能力值得关注
 
    哪种措施能够有效保护企业和用户的数据安全呢?那就是全站HTTPS;中国互联网全站使用HTTPS的时代已经到来。
 
    HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。SSL被广泛用于互联网上安全敏感的通讯,例如交易支付、账号登陆等。
 
    HTTPS就等于HTTP加上TLS(SSL),HTTPS协议的目标主要有三个:
 
    1、数据保密性。保证内容在传输过程中不会被第三方查看到。就像快递员传递包裹时都进行了封装,别人无法知道里面装了什么东西。
    2、数据完整性。及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西,但他有可能中途掉包,数据完整性就是指如果被掉包,我们能轻松发现并拒收。
    3、身份校验。保证数据到达用户期望的目的地。就像我们邮寄包裹时,虽然是一个封装好的未掉包的包裹,但必须确定这个包裹不会送错地方。
 
                                         
 
    从某种意义上来讲,仅在登录、交易支付环节启用HTTPS只能说是最为基础的安全解决办法,而全站HTTPS才是更为高阶,也更能体现技术能力的安全方案。
 
    而BAT三大网络巨头,已经领先使用了全站HPPTS安全解决方案。阿里巴巴作为中国交易第一大平台,对旗下所有网站都已使用了HTTPS全站加密,使其网站中的登陆支付、关键字搜索、广告推送和推广链接等容易被运营商劫持的环节都受到了有效的安全保护。腾讯也是如此,在其微信第三方支付接口、qq邮箱等用户常用的操作中加强了数据的保护。百度作为全球最大的中文搜索引擎,一直致力于为用户提供一个安全可靠的网络环境,对其搜索启用了全站HTTPS加密。可以说,HTTPS就如同开辟了访问链接的专用通道,大大降低了第三方窃听信息、篡改冒充身份的风险。
 
 全站https才是保障互联网安全的终极选择
 
    在如今乱象横生的互联网环境中,不仅大型的互联网公司需要全站HTTPS安全解决方案,中小型企业更是需要在数据安全的问题上加以重视。很多中小型企业是网络数据不安全问题的重点被攻击对象, 由于数据不加密危害通常会给企业带来不可估量的重大损失。例如,某生鲜网站,就被爆出数据泄密的事故,导致网站的订单被攻击,不仅给用户造成了困扰,连带商家也受到虚假订单的蒙蔽,使得交易双方都遭受了经济损失,生鲜网站受到了严重的信任危机,承受了巨大的损失。还例如某电商企业,用户数据被盗取,使得违法分子利用用户数据天天打骚扰电话进行伪劣产品推销,用户正常生活受到影响,将电商拉入黑名单,不再进行购物消费,电商倒闭。
 
    以上种种事例都说明,网站的全站HTTPS数据安全解决方案十分的必须且紧急。数据安全问题不再只单一对用户造成困扰和影响,对企业才是致命的损失和打击。
 
    全站HTTPS安全加密服务的作用,可以对网站进行全方位的保护,确保网站和用户最大程度的安全可靠。
 
    确保站点安全
    加密用户数据
    防止信息篡改
    保护账户资金
    避免隐私泄露
 
    全站https能有效防止网站上的广告、推广、链接等被恶意中间者劫持,强有力的保护客户隐私信息,保障网站的信誉度,以免交易损失从而带来的客户流失和交易额下降。
 
https的高效运用需要足够专业的技术配套服务
 
    https如何高效发挥作用?巨头阿里巴巴再次为行业做出了表率。阿里巴巴旗下电商平台已实现全站https,这其中不仅有PC页面的改造,还包括了淘宝、天猫等移动客户端。
 
    那么,如此庞杂的系统工程,阿里巴巴是怎么做的?首先,阿里采用了统一接入层的架构,并配备管控平台。这样的设计解决了很多问题,比如证书分散且落地不安全、软件版本难以维护、配置过多、难以标准和自动化、VIP过多等。其次,性能调优。“双十一”系统交易创建峰值达到每秒钟14万笔,支付峰值达到每秒钟8.59万笔。即便如此,已经启用了全站https的淘宝、天猫依然保证了网站和移动端的访问、浏览、交易等操作的顺畅、平滑。
 
大势之下,数据安全问题不再只单一对用户造成困扰和影响,由此带来的群体性重大经济损失,以及对企业的致命伤害,一次次为我们敲响了警钟。作为网络安全的忠实守护者https需要获得更为广泛的认知与应用。