HTTPS在多大程度上保护网站?
时间:2021-11-16

HTTPS和SSL并不意味着你有一个安全的网站。

在大多数情况下,搜索引擎优化社区首先将注意力转移到小绿色锁定上。当时,百度SEO专家发布了一篇帖子,宣布HTTPS作为排名信号。几乎所有的SEO都建议他们的HTTP客户端为了排名目的转向HTTPS,但事实上,它从来没有(绝对不应该)关于排名。

那百度为什么要谈排名呢?总而言之,要引起人们的注意。

百度的长期目标是让网络对用户更安全,保护用户。毕竟,如果百度向用户显示结果,他们会看到他们的信用卡详细信息被盗,他们可能不信任百度为他们提供安全和高质量的结果。

HTTPS再次成为人们关注的焦点,因为百度会主动向用户强调网站的安全和不安全。用安全这个词对我来说有问题。

拥有SSL证书并不意味着你有一个安全的网站。全球引人注目的网络攻击也引起了大众媒体对网络安全问题的关注,以提高人们对网络安全基础知识的认识。

声称一个带有绿色锁和HTTPS的网站是一个真实的标志,没有一个网站可能是假的。HTTPS仍然可以用于虚假网站。

假如一个虚假或真实的网站想要使用SSL/TLS技术,他们需要做的就是获得证书。SSL证书可以免费获得,并在几分钟内通过阿里云等技术实现。就浏览器而言,该网站是安全的。

了解SSL证书的工作原理。

当用户导航到网站时,网站向浏览器提供证书。然后浏览器验证网站提供的证书:

与正在访问的域相同的域有效。

由可信CA(CertificateAuthority)颁发。

有效且未通过到期日期。

一旦用户浏览器验证了SSL认证的有效性,连接将继续保持安全。如果没有,您将在浏览器中收到不安全警告,否则您将拒绝访问该网站。若成功,浏览器和网站服务器将交换必要的详细信息,形成安全连接并加载网站。

那么HTTPS在多大程度上保护网站呢?

传输/加密静止时加密。

HTTPS(和SSL/TLS)提供所谓的传输加密。这意味着我们在浏览器和网站服务器之间的数据和通信(使用安全协议)采用加密格式,因此如果这些数据包被截获,它们将无法被读取或篡改。

然而,当浏览器收到数据时,它会解密它,当服务器收到你的数据时,它也会解密——所以它将来可以被记住或用于其他集成(如CRM)。SSL和TLS不为我们提供静态加密(当数据存储在网站服务器上时)。这意味着如果黑客可以访问服务器,他们可以读取您提交的所有数据。

大多数高调的黑客攻击和数据泄露是黑客访问这些未加密数据库权限的结果。因此,虽然HTTPS技术意味着我们的数据安全地进入数据库,但它没有安全地存储。

SSL也可能容易受到攻击。

和大多数技术一样,SSL和TLS也在不断发展和升级。SSLV1从未公开发布,因此我们使用SSL获得的第一次真实体验是在1995年使用SSLV2,其中包含许多严重的安全漏洞。

SSLV2今天仍然可能导致问题,因为目前大量SSL的实现和配置不正确意味着它们很容易受到DROWN的攻击。

自1996年推出SSLV3以来,我们已经看到了TLSV1、TLSV1.1和TLSV1.2的引入。

这就是SSL本身可能成为直接漏洞的地方。随着技术的进步,并非所有网站都在不断发展。尽管使用了更新的SSL证书,但许多网站仍然支持旧协议。黑客可以使用这个漏洞和旧的支持来执行协议降级攻击——他们使用旧的协议与用户浏览器重新连接到网站——尽管许多现代浏览器将阻止SSLV2连接,但SSLV3仍然超过20年。

SSL本身也容易受到许多其他潜在的攻击。

结账/登录页面上的HTTPS是错误的安全措施。

很长一段时间以来,许多电子商务结账页面或用户登录页面上维护HTTPS,但在其他页面上运行HTTP。

当您登录网站时,服务器会发回COOKIE,这意味着你不必一直登录和退出网站(它会记住你)。问题是,当你继续在HTTP上浏览网站时,你会通过不安全的连接发送和接收相同的身份来验证COOKIE,这可能会导致攻击者拦截COOKIE并窃取它,然后在未来假装你。

结论

SSL/TLS的正确实施是在用户浏览器和网站服务器之间传输时保护用户数据的重要技术。网站还应使用HSTS来防止协议降级攻击和COOKIE劫持。

该技术不能保护网站免受数千种其他已知的可攻击漏洞攻击,这可能会危及用户数据。

HTTPS是安全的,不是假的,但也不是严格正确的。它是网络安全拼图的一部分,是最容易识别的最简单的安全功能之一,尤其是从搜索引擎优化百度网络爬虫的角度。百度未来可能会在高级网络抓取工具中添加被动扫描元素,并将网站安全性的不同方面纳入其排名因素。

我们需要教育我们的客户,他们需要采取比HTTPS更多的措施来保护他们的网站和用户,并符合一般的数据保护规定和标准。


标签: 安全用户加密