HTTPS和SSL网站也未必安全 北京SEO优化公司

在大多数情况下,搜索引擎优化社区首先将注意力转移到2014年的小绿色锁定,当时谷歌发布了一篇宣布HTTPS作为排名信号的帖子。几乎所有的SEO都建议他们的HTTP客户端为了排名目的而转向HTTPS,但实际上,它从未(也绝不应该)关于排名。

HTTPS和SSL网站也未必安全 北京SEO优化公司
HTTPS和SSL网站也未必安全 北京SEO优化公司

那么谷歌为什么要谈论排名呢?总之,要让人们注意。

Google的长期目标是让网络对用户更安全,并保护自己的用户。毕竟,如果Google向用户显示结果,他们会看到他们的信用卡详细信息被盗,他们可能不太信任Google为他们提供安全,优质的结果。

HTTPS再次成为人们关注的焦点,因为Google Chrome 68会主动向用户强调网站“安全”和“不安全”。对我来说存在问题,使用“安全”这个词。

拥有SSL证书并不意味着您拥有一个安全的网站,并且随着新的欧洲GDPR法规的快速接近,很多企业可能会因为这种误解而陷入困境。全球范围内引人注目的网络攻击也引起了大众媒体对网络安全问题的关注,大型品牌(如英国跨国投资银行巴克莱银行)发起了公众宣传活动,以提高人们对网络安全基础知识的认识。

巴克莱的“SuperCon”HTTPS活动

但是,即使巴克莱的这则电视广告也是错误的。它宣称一个带有绿色锁和HTTPS的网站是一个网站是真实的标志,没有一个网站可能是假的。虚假网站仍然可以使用HTTPS。

如果一个虚假或真实的网站想要使用SSL / TLS技术,他们所需要做的就是获得证书。SSL证书可以免费获得,并在几分钟内通过Cloudflare等技术实现,就浏览器而言 – 该站点是安全的。

了解SSL证书的工作原理

当用户导航到网站时,网站将证书提供给浏览器。然后浏览器验证网站提供的证书:

  • 对于与正在访问的域相同的域有效。
  • 已由可信CA(Certificate Authority)颁发。
  • 有效且未通过其到期日期。

一旦用户的浏览器验证了SSL认证的有效性,连接就会继续保持安全。如果没有,您将在浏览器中收到不安全警告,否则将拒绝访问该网站。如果成功,浏览器和网站服务器会交换必要的详细信息以形成安全连接并加载网站。

那么HTTPS在多大程度上保护网站?

加密在传输/加密静止

HTTPS(和SSL / TLS)提供所谓的“传输中的加密”。这意味着我们在浏览器和网站服务器(使用安全协议)之间的数据和通信采用加密格式,因此如果这些数据包被截获,则无法读取或篡改它们。

但是,当浏览器接收到数据时,它会对其进行解密,当服务器收到您的数据时,它也会被解密 – 因此它可以在将来被记住或被其他集成(如CRM)使用。SSL和TLS不为我们提供静态加密(当数据存储在网站的服务器上时)。这意味着如果黑客能够访问服务器,他们就可以读取您提交的所有数据。

大多数高调的黑客攻击和数据泄露都是黑客获取对这些未加密数据库的访问权限的结果,因此虽然HTTPS技术意味着我们的数据安全地进入数据库,但它并没有被安全地存储。

SSL也可能易受攻击

与大多数技术一样,SSL和TLS也在不断发展和升级。SSLv1从未公开发布,所以我们用SSL获得的第一次真实体验是在1995年使用SSLv2,其中包含许多严重的安全漏洞。

SSLv2今天仍然可能导致问题,因为大量当前的SSL实现和配置不正确意味着它们容易受到DROWN攻击

SSLv3于1996年推出,从那时起我们已经看到了TLSv1,TLSv1.1和TLSv1.2的引入。

这就是SSL本身可能成为直接漏洞的地方。随着技术的进步,并非所有网站都在不断发展,尽管使用了较新的SSL证书,许多网站仍然支持旧协议。黑客可以使用此漏洞和较旧的支持来执行协议降级攻击 – 他们使用户浏览器使用较旧的协议重新连接到网站 – 虽然许多现代浏览器将阻止SSLv2连接,但SSLv3仍然超过20年。

SSL本身也容易受到许多其他潜在攻击,包括BEASTBREACHFREAKHeartbleed

结帐/登录页面上的HTTPS是一种错误的安全措施

很长一段时间以来,许多电子商务企业仅在结账页面或用户登录页面上维护HTTPS,但在其他页面上运行HTTP。

当您登录网站时,服务器会发回cookie,这意味着您不必一直登录和退出网站(它会记住您)。问题是当您继续在HTTP上浏览网站时,通过不安全的连接发送和接收相同的身份验证cookie,这可能导致攻击者拦截cookie,窃取它,然后在以后冒充您。

结论

正确实施SSL / TLS是在用户浏览器和网站服务器之间传输时保护用户数据的重要技术。对于全面覆盖,网站还应该使用HSTS来防止协议降级攻击和cookie劫持。

该技术还无法保护网站免受数千种其他已知的可攻击漏洞攻击,这些攻击可能危及用户数据。

说HTTPS是安全的并不是假的,但它也不是严格正确的。它是网络安全拼图中的一个部分,它是最容易识别的最简单的安全功能之一 – 尤其是从网络爬虫的角度来看。我之前写过关于Google可能会在未来向高级网络抓取工具添加被动扫描元素,并将网站安全性的不同方面纳入其排名因素。

北京网站优化公司_SEO优化公司_北京新闻发稿_稿件策划撰写_越视界

相关新闻