保护您安全上网冲浪

当您使用电脑或笔记本上网时,您会使用http协议(超文本传输协议)。协议为两台机器之间的共同通讯定义了一整套规范和准则。HTTPS是HTTP协议的安全版

http S(超文本传输安全协议) ?

当您访问一个以https开头的网络地址时,您可以对以下三件事放心:

  • 每个https网站当您对其进行访问时都有一个证书在您的浏览器中。您的浏览器本身有着一个数据库,可以对它们出示的证书的有效性进行检查。该证书是网站的身份识别,每个https网站都有着唯一的证书。
  • 与网站进行数据交换的保密性。在您与被访问网站之间有着众多的中间媒介:登陆提供商、一个或多个服务器、可能存在的代理服务器、甚至是一个恶意人士(特别是在开放的wifi热点进行连接时)。一旦网站的身份被验证后,您的浏览器与网站之间的数字通道就建立起来,确保了在您与被访问的网站之间没有任何的中间媒介会拦截交换的数据信息,这些信息包括被请求的页面、页面内容或者发送的密码。
  • 数据的完整性。使用https协议可以确保没有人能够改动发送的数据

 

破坏https协议

有几种方式会破坏https网站与您的浏览器之间建立的安全通道。

阻碍https连接

这是迄今为止最为简单的破坏https协议的方式。提供https协议的网站通常可以通过http协议访问。控制了您所连接的网络的攻击者(您的登陆提供商或者您酒店的共享wifi连接)可以非常简单的关闭https的访问而使您不得不使用非安全的http版本。

盗用https网站的身份验证

攻击者可能存在在您与您想访问的网站之间,重新定向您的访问路径使之连接至一个有着假证书的网站副本。这就是所谓的中间人攻击(Man in the Middle Attack)。

如果您将登陆 Gmail, DNS 控制网络和DNS服务器的攻击者会混淆视听让您被重新定向到一个在邮件服务各方面都与Google相似的网站。避免这种攻击的唯一线索是您浏览器的安全警示。

您的浏览器将会向您显示该网站的证书是无效的并且所访问的网站名不副实。

偷盗证书

在所谓的中间人攻击中,有极少数的情况是攻击者本身已有一份目标网站的证书副本。此种类型的攻击是非常复杂的,因为它可能已经从数字证书认证机构偷盗了一个或多个证书。

2011年8月,Diginotar公司,一家提供根证书的公司,遭到黑客攻击且证书被偷盗。这些证书已经被用于,主要是在伊朗, 发动对Google服务的中间人攻击。这种类型的攻击是非常有效的,因为您的浏览器无法检测到这一欺诈方式,也不会显示出任何安全警示。

一些解决方案

有一些技巧和软件可以提高您网上冲浪的安全性。

推荐使用火狐(Firefox)或者Chrome浏览器

Mozilla,火狐(Firefox)的开发者,和Google,Chrome的开发者,在安全方面特别重视。比如,他们在上文中提及的Diginotar公司的证书偷盗事件发生后率先更新了其浏览器的证书数据库。作为一个开源的软件,火狐(Firefox)的目的是保证用户安全和隐私。Chrome同样侧重于安全性,但它并不是开源的,并不提供同样的尊重隐私的保障。

禁用Java

Java是一种跨平台的语言,它作为插件存在于所有浏览器中。它真正是安全性方面的一块瑞士奶酪。据卡巴斯基(Kaspersky)杀毒软件的开发者统计,在2012年出现的网络攻击中50%都是利用了浏览器中java插件的漏洞。如果您不需要您浏览器中的java,请禁用它或者最好卸载它。

使用一些有用的扩展来提升您的浏览器

可以通过插件在火狐(Firefox)和Chrome浏览器中添加功能。

  • https everywhere :为每个网站检查是否有https版本(加密)的存在,如果有的话会为您重新定向到它。这将不需您手动在每个网址的http后添加“s”,因为没有人这么做,真的确实如此。
  • No script : 可以让您控制访问网站上运行的javascript脚本。Javascript 是一种在网络上广泛使用的编程语言。它在您的浏览器上运行,有时被用在某些网络攻击(XSS和CSRF)。您可以允许某些网站运行JavaScript,该扩展可以保留您的选择。开始是比较复杂但对于网上冲浪的安全覆盖来说是必不可少的。chrome上同样的扩展是 scriptsafe.
  • Web of trust :在众包模式(众人提供资讯)下运行并可以根据其他用户的意见向您指出某一个网站是否安全。如果您登陆了一个被视为恶意脚本巢的网站,WOT将会在页面未加载之前向您显示警告。
  • Certificate Patrol : 在您访问https网站时为您检查证书,并会在您的浏览器检测到一个证书变更时向您发出警示。对于抵御中间人攻击十分有效。