目前,不少互聯(lián)網(wǎng)公司網(wǎng)址域名開頭為“https”,由于“https”開頭的域名為用戶提供了更加安全的購物環(huán)境,能防止用戶信息被竊取,得到很多網(wǎng)民信任,不過一旦出現(xiàn)漏洞危害將更大。近日,OpenSSL宣布修復(fù)一個(gè)高危漏洞,解決攻擊者利用該漏洞破解HTTPS中加密內(nèi)容的問題,騰訊反病毒實(shí)驗(yàn)室專家建議用戶盡快更新。
選擇支持全站HTTPS網(wǎng)站更安全
國內(nèi)外大型互聯(lián)網(wǎng)公司均已宣布支持全站HTTPS,尤其是國內(nèi)電商平臺及其移動(dòng)客戶端率先支持全站HTTPS,力爭為用戶提供更安全的購物環(huán)境。除了全站支持HTTPS的網(wǎng)站,還有部分網(wǎng)站在登陸及交易頁面啟用HTTPS,也能夠在關(guān)鍵環(huán)節(jié)保護(hù)用戶隱私。
簡單來說,HTTPS為以安全為目標(biāo)的HTTP通道,即HTTP的安全版,提供了身份驗(yàn)證與加密通訊方法,已經(jīng)被廣泛用于網(wǎng)絡(luò)上敏感信息的通訊,例如登陸賬號、密碼,以及重要的在線支付環(huán)節(jié)。
在信息傳輸過程中,HTTPS首先能夠保證內(nèi)容在傳輸過程中不會被第三方知曉,發(fā)出的數(shù)據(jù)能私密的傳輸?shù)侥康牡?。其次,HTTPS能及時(shí)發(fā)現(xiàn)被“中間人”或者黑客篡改的傳輸內(nèi)容,一旦信息完整性受到破壞能迅速得到識別。最后,在信息保密、完整的傳輸?shù)侥康牡睾?,會進(jìn)行身份校驗(yàn),保證不會傳輸?shù)藉e(cuò)誤位置。
及時(shí)修復(fù)漏洞保護(hù)個(gè)人隱私和賬戶資金
從技術(shù)角度看,全站HTTPS是目前最佳的安全解決方案,但也存在安全隱患。OpenSSL最近修復(fù)了一個(gè)高危漏洞CVE-2016-0701,攻擊者可以利用該漏洞破解HTTPS中的加密內(nèi)容。一旦被破解,用戶電腦很可能會遭到第三方的“流量劫持”。彈窗廣告只是隱患之一,還有可能讓用戶上網(wǎng)數(shù)據(jù)被偷窺,或是被誤導(dǎo)至仿冒的“釣魚網(wǎng)站”,導(dǎo)致賬號和密碼被盜。
不過由于該漏洞的利用需在特定的版本下,并且需要依賴一定的條件。主流的應(yīng)用程序如Apache等并不在影響范圍之中。目前,OpenSSL已經(jīng)發(fā)布漏洞修復(fù)說明,并提供修復(fù)該漏洞后的最新版下載地址。
對此,騰訊反病毒實(shí)驗(yàn)室專家馬勁松表示,用戶在瀏覽網(wǎng)頁的時(shí)候,應(yīng)該盡量選擇支持輸入網(wǎng)址后域名開頭顯示“https”而非“http”的網(wǎng)頁,以確保個(gè)人隱私不會被“劫持”。由于網(wǎng)絡(luò)傳輸身份信息,銀行賬號等各種數(shù)據(jù),可能成為不法分子的牟利手段。HTTPS安裝SSL證書后,就將這些內(nèi)容進(jìn)行了加密,能夠減少數(shù)據(jù)被非法竊取的幾率。然而,這只是在網(wǎng)站安全上最基本的安全防護(hù),建議用戶盡量設(shè)定繁瑣的賬號密碼,采取多種措施保護(hù)個(gè)人信息和財(cái)產(chǎn)安全。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!