當使用者對瀏覽器的依賴持續加深,成為不可或缺的工具,相對的,對瀏覽器的操作使用就必須更加深入了解才行,善用工具、正確使用、建立防護觀念,將會是網友持續努力的一個課題。
這邊將針對 SSL (Secure Sockets Layer) 、 Active X、Cookie/Session 身份管控、短網址...等各部分來說明,為了
首先是 SSL,它並不代表這個網站是很安全、不會被入侵的。
SSL 是一種加密技術,主要用於網際網路的傳輸加密,指的是「瀏覽器」與「網站」之間,透過網際網路時,會使用加密技術傳遞資料,避免他人在中間竊取網路封包,窺探網友的瀏覽網頁內容資訊;一般大多實作為 HTTPS 方式,也就是說瀏覽網站的網址開頭會是「https://xxx.xxx/」,但要注意的是並非「https」開頭,就表示有加密,必須要多識別一個圖示:
(圖片來源:http://www.microsoft.com/hk/athome/chinese/security/images/online/74349_https_F.jpg)
對,就是一個「安全鎖」的圖案,這個圖案在各瀏覽器呈現的位置會不太一樣,且一定要出現在該出現的位置才正確。沒錯!!問題又來了。誰知道該出現在哪裡呀?很抱歉這是網路生存的基本技巧,只要網路使用者,你就必須了解,就跟
很多網站會把「HTTPS」與「網站安全」劃上等號,這是網路誤解。這不能怪網友,很多網站是刻意把這等號劃上的,詳細原因
回到先前話題,如何知道「HTTPS」的加密功能正在運作呢?不同瀏覽器「安全鎖」的圖案該出現在哪裡呢?你可以試著以瀏覽器連結下列網址:「https://encrypted.google.com/」,找到「安全鎖」的圖案,如下圖:
在了解「安全鎖」的圖案的位置之後,接下來就是要確定這些「安全鎖」必須經得起考驗了,這也是瀏覽者可以驗證圖示的正確性。可以點擊這些「安全鎖」圖案,去查詢所謂「憑證」的內容,如下圖:
「憑證」的內容中包含許多資訊,其中詳細資訊包含的加密使用的相關技術,關係著這是否有機會破密的可能性,對瀏覽使用者來說只能被動性的接受;但,瀏覽使用者必須了解一點,上圖中「發給」(有的瀏覽器會用「網站」)的網域,必須與瀏覽器「瀏覽的網域(或稱網址名稱)」要契合,且這個網站的網址是沒有問題(確實是你要瀏覽的網站)的。在瀏覽的過程中,看到「安全鎖」圖案正常的運作,就表示網路通訊是有在加密保護下的。
這是識別釣魚網站的技巧之一,其他識別釣魚網站方式可以本部落格,例如「模擬實戰釣魚網站(Challenge to Phishing-II) Part-II」。了解以上幾個動作之後,接下來就是了解其應用了,你必須了解何謂「全程加密」與「登入加密」,簡單的說,「全程加密」是自帳號登入開始,到帳號登出的過程都是在加密的狀態;而「登入加密」只有在帳號登入的動作進行加密。所以「登入加密」只保護了使用者帳號密碼,「全程加密」保護了更多資料內容。若您使用網路銀行時,應該是「全程加密」還是「登入加密」呢?
另外,您使用網頁存取電子郵件時,是「全程加密」還是「登入加密」呢?Gmail已經在2010年初就使用「全程加密」了,Hotmail於2010年11月出也推出「全程加密」功能,不過,還需要使用者手動開啟「全程加密」的功能;Yahoo信箱目前還只有「登入加密」的功能。對於瀏覽者經常使用的電子郵件信箱,提供哪些保護,也是網友應該去加以了解的。
Facebook也開始提供「全程加密」功能了,就在2011年一月底,可以參考這裡。它也是需要手動開啟的喔!!
另外,「全程加密」也會有假貨...lol。
來看這張圖顯示的訊息:
這是 IE 8 才有的特別功能,預設狀況下是會跳出此視窗的。來看看微軟的說法:「為何當使用 IE 8 瀏覽網站時,總會跳出安全性警告視窗?」中「問題的來龍去脈」。這是在說啥呢?即便是「全程加密」,但過程中仍有部分網頁內容是沒有經過加密的。哪些網頁內容有加密哪些沒加密呢?這也不是使用者能選擇的,也許重要的網頁內容資訊是沒有加密的哩。目前國內還有許多證券網站、網路銀行還是會跳出這訊息視窗的,網友可得多加注意呀!!
講白一點好了。出現上面的警告視窗,即便有 HTTPS 但可能一點用也沒有,純唬你的... ...哀哉。啊... ...沒看到這警告視窗,借問可是用 IE 8。
~~問世間資安為何物,直叫鄉民出生入死~~
完整文章亦投稿於「資安人雜誌,2011 Jan/Feb. No.73,你的上網行為安全嗎?」
1 則留言:
前面的資安問題我就不多作評論了~版主是對的~SSL只是網站的大門鎖,窗戶和後門甚至牆壁牢不牢靠都很重要!
而跳出IE8那種視窗,其實每個瀏覽器也都有類似機制,只要是在Https連線的頁面裡,有http的連線存在,瀏覽器就會詢問你是否仍要連線,如果你仍要連線那瀏覽器有的會給你兩種選擇,一是載入那些http連結的image/JavaScript/css/Flash等外部檔案,但https安全本身已沒有保障了(通常鎖頭就不見了),另一種是拒絕載入這些不安全的檔案,那網頁會出現一堆叉燒包的圖示或flash與script無法載入並執行(我個人通常按網站的建立者是否可信賴來決定),當然要消瀰這個問題仍需網站編寫者來把那些連結改成https方式連結或相對路徑方式連結就可解決了(怎麼很多工程師都那麼懶連測都不測的)。
張貼留言