2011年2月19日 星期六

上網安全之HTTPS/SSL (Surfing Secure for HTTPS/SSL)

上網安全這是個很大的議題,尤其在電子郵件的用戶端程式 Web 化後,網友只要以瀏覽器就能完成所有事情,不過還是有部分網友習慣使用特定的收信軟體,如Outlook…等,主要原因還是用於同步周邊裝置,如早期的 PDA、智慧型手機…等。但,大部分的網友,多半只要有瀏覽器就可以完成上網作業以及所需工作。
當使用者對瀏覽器的依賴持續加深,成為不可或缺的工具,相對的,對瀏覽器的操作使用就必須更加深入了解才行,善用工具、正確使用、建立防護觀念,將會是網友持續努力的一個課題。

這邊將針對 SSL (Secure Sockets Layer) 、 Active X、Cookie/Session 身份管控、短網址...等各部分來說明,為了灌水使網友充分了解,這裡將分文說明:

首先是 SSL,它並不代表這個網站是很安全、不會被入侵的。

SSL 是一種加密技術,主要用於網際網路的傳輸加密,指的是「瀏覽器」與「網站」之間,透過網際網路時,會使用加密技術傳遞資料,避免他人在中間竊取網路封包,窺探網友的瀏覽網頁內容資訊;一般大多實作為 HTTPS 方式,也就是說瀏覽網站的網址開頭會是「https://xxx.xxx/」,但要注意的是並非「https」開頭,就表示有加密,必須要多識別一個圖示:

(圖片來源:http://www.microsoft.com/hk/athome/chinese/security/images/online/74349_https_F.jpg)

對,就是一個「安全鎖」的圖案,這個圖案在各瀏覽器呈現的位置會不太一樣,且一定要出現在該出現的位置才正確。沒錯!!問題又來了。誰知道該出現在哪裡呀?很抱歉這是網路生存的基本技巧,只要網路使用者,你就必須了解,就跟吃飯呼吸一樣。

很多網站會把「HTTPS」與「網站安全」劃上等號,這是網路誤解。這不能怪網友,很多網站是刻意把這等號劃上的,詳細原因這就不多說了在這裡可以砲用力一點,因為,這個網站能做的資訊安全就這麼多了,要更多的資訊安全也沒有了,如果還有問題,哪...一定是網友的問題...XD,所以消毒先。網友一定要知道,「HTTPS」只保障「瀏覽器」與「網站」之間的網路傳輸安全;另外還有端點的問題,也就是說,網站主機或瀏覽器主機還是可能遭植入惡意程式,而遭受攻擊。

回到先前話題,如何知道「HTTPS」的加密功能正在運作呢?不同瀏覽器「安全鎖」的圖案該出現在哪裡呢?你可以試著以瀏覽器連結下列網址:「https://encrypted.google.com/」,找到「安全鎖」的圖案,如下圖:



在了解「安全鎖」的圖案的位置之後,接下來就是要確定這些「安全鎖」必須經得起考驗了,這也是瀏覽者可以驗證圖示的正確性。可以點擊這些「安全鎖」圖案,去查詢所謂「憑證」的內容,如下圖:


「憑證」的內容中包含許多資訊,其中詳細資訊包含的加密使用的相關技術,關係著這是否有機會破密的可能性,對瀏覽使用者來說只能被動性的接受;但,瀏覽使用者必須了解一點,上圖中「發給」(有的瀏覽器會用「網站」)的網域,必須與瀏覽器「瀏覽的網域(或稱網址名稱)」要契合,且這個網站的網址是沒有問題(確實是你要瀏覽的網站)的。在瀏覽的過程中,看到「安全鎖」圖案正常的運作,就表示網路通訊是有在加密保護下的。

這是識別釣魚網站的技巧之一,其他識別釣魚網站方式可以本部落格,例如「模擬實戰釣魚網站(Challenge to Phishing-II) Part-II」。了解以上幾個動作之後,接下來就是了解其應用了,你必須了解何謂「全程加密」與「登入加密」,簡單的說,「全程加密」是自帳號登入開始,到帳號登出的過程都是在加密的狀態;而「登入加密」只有在帳號登入的動作進行加密。所以「登入加密」只保護了使用者帳號密碼,「全程加密」保護了更多資料內容。若您使用網路銀行時,應該是「全程加密」還是「登入加密」呢?

另外,您使用網頁存取電子郵件時,是「全程加密」還是「登入加密」呢?Gmail已經在2010年初就使用「全程加密」了,Hotmail於2010年11月出也推出「全程加密」功能,不過,還需要使用者手動開啟「全程加密」的功能;Yahoo信箱目前還只有「登入加密」的功能。對於瀏覽者經常使用的電子郵件信箱,提供哪些保護,也是網友應該去加以了解的。

Facebook也開始提供「全程加密」功能了,就在2011年一月底,可以參考這裡。它也是需要手動開啟的喔!!

另外,「全程加密」也會有假貨...lol。

來看這張圖顯示的訊息:


這是 IE 8 才有的特別功能,預設狀況下是會跳出此視窗的。來看看微軟的說法:「為何當使用 IE 8 瀏覽網站時,總會跳出安全性警告視窗?」中「問題的來龍去脈」。這是在說啥呢?即便是「全程加密」,但過程中仍有部分網頁內容是沒有經過加密的。哪些網頁內容有加密哪些沒加密呢?這也不是使用者能選擇的,也許重要的網頁內容資訊是沒有加密的哩。目前國內還有許多證券網站、網路銀行還是會跳出這訊息視窗的,網友可得多加注意呀!!

講白一點好了。出現上面的警告視窗,即便有 HTTPS 但可能一點用也沒有,純唬你的... ...哀哉。啊... ...沒看到這警告視窗,借問可是用 IE 8。

~~問世間資安為何物,直叫鄉民出生入死~~

完整文章亦投稿於「資安人雜誌,2011 Jan/Feb. No.73,你的上網行為安全嗎?」

1 則留言:

匿名 提到...

前面的資安問題我就不多作評論了~版主是對的~SSL只是網站的大門鎖,窗戶和後門甚至牆壁牢不牢靠都很重要!

而跳出IE8那種視窗,其實每個瀏覽器也都有類似機制,只要是在Https連線的頁面裡,有http的連線存在,瀏覽器就會詢問你是否仍要連線,如果你仍要連線那瀏覽器有的會給你兩種選擇,一是載入那些http連結的image/JavaScript/css/Flash等外部檔案,但https安全本身已沒有保障了(通常鎖頭就不見了),另一種是拒絕載入這些不安全的檔案,那網頁會出現一堆叉燒包的圖示或flash與script無法載入並執行(我個人通常按網站的建立者是否可信賴來決定),當然要消瀰這個問題仍需網站編寫者來把那些連結改成https方式連結或相對路徑方式連結就可解決了(怎麼很多工程師都那麼懶連測都不測的)。