淺談Web是否應該被加密?

　　成立于1990年的電子前線基金會是一個非營利組織。它在2010年6月發布了HTTPS Everywhere的beta測試版。8月4日，HTTPS Everywhere的1.0版發布，包括了數百個新加的站點，以及精心制定的從HTTP轉到HTTPS的規則。

　　HTTPS現在是互聯網安全和隱私保護的基石。它在反“搜索劫持”上起著關鍵作用。

　　今年早些時候，兩篇論文就指出在一些美國ISP中曾出現過的詭異的域名系統(DNS)問題。在這些ISP的網絡中，有一些指向主要搜索引擎(例如Bing，Yahoo!以及(有時)Google)的流量被重定向到一些奇怪的第三方代理上。

　　EFF高級主任工程師Peter Eckersley解釋說：

　　如果沒有HTTPS，你的在線閱讀習慣和行為都非常容易被竊聽，而且你的賬號也非常容易被竊取。Paxfire的遭遇就是一個很好的例子，它告訴我們事情可能會變得多糟糕。EFF創建了HTTPS Everywhere來幫助用戶保護他們的用戶名，密碼和瀏覽歷史。”

　　HTTPS Everywhere 1.0能夠加密到Google圖片搜索、Flickr、Netflix、Apple以及例如NPR和經濟學人這樣的新聞網站的鏈接，當然這里面還包括了到數百個銀行的鏈接。HTTPS Everywhere也同樣支持將Google搜索、Facebook、Twitter、Hotmail、Wikipedia、紐約時報以及數百個流行網站的鏈接加密。

　　EFF Firefox擴展也能夠保護使用Google、DuckDuckGo或者StartingPage搜索的用戶，但是不能保護Bing和Yahoo用戶，因為這些搜索引擎不支持HTTPS。

　　Aaron Swartz表示他已經能夠讓HTTPS Everywhere初步運行在Chrome上面了。去年Dan Kaminsky寫了一篇關于HTML 5安全性的文章，以及引用了一些瀏覽器實現HTTP時出現的漏洞：

　　Robert “RSnake” Hansen和Josh Sokel在Black Hat 2010上做了一個題為“HTTPS的潛在安全問題”的演講。他們認為，雖然HTTP的連接實際上缺乏像HTTPS那樣對信息加密的控制能力 - 但是，強悍的HTTPS的控制能力卻也帶來了比預期中的更多麻煩。

　　Dan解釋說：

　　如果你的站點有一個萬用證書，那么無論主機信息頭部是什么樣，這個站點都極有可能遭受跨站攻擊。

　　考慮HTTP站點的cookie能夠在HTTPS中使用，并且保存路徑是固定的，不僅如此，過大的cookie將會導致服務器錯誤，因此一個HTTP攻擊者可以通過使用大量的cookie“關閉掉”HTTPS的某些功能從而迫使用戶只使用HTTP版本。

　　Dan最后總結道：

　　這些發現最終更加堅定了我對于將站點設置為只接受SSL的信念，只有這樣，站點才不會被HTTP給弄得麻煩纏身。這些混合使用的科技，HTTPS Everywhere，Strict-Transport-Security，以及還未指明的DNSSEC強制傳輸標記，將會變得越來越重要。

　　剛剛年滿20歲的Web已經略顯疲態，它的核心技術看起來已經不能夠應付不斷增加的復雜攻擊。不斷增加的Web API和大量出現的各種保護Web協議的偽標準方法也讓數據的規模成倍增長，而且已經超出處理能力。Web是否正在超加密方向發展呢?你將如何應付這種局面?

原文轉自：http://www.kjueaiud.com