技术无边 服务无限
7×24小时服务热线:400-023-0198
  新闻动态
导读推荐:
 
您现在的位置: 首页 > 新闻动态 > 行业信息 > 正文

HTTP必死:Google是怎么考虑安全的?

发布人:系统管理员 发布日期:2015/8/28 来源:本站 浏览:次 字号:

HTTPS 是什么?

如果你其实连 HTTPS 是啥都不知道,你可以先看看这篇文章。

简单地讲, HTTPS 是加过密的 HTTP。 这样,由于网路上传输的数据是加密的,在浏览网页时,除了你自己可以看到你在看什么网页,第三方是无法得知你在干什么的。

保护私密数据其实是 HTTPS 过去十几年中起到的最大作用了。

比如你登入了你的邮箱,或者是你的网上银行,一旦使用 HTTPS,那么数据在网上就不再是明文,于是第三方就看不到你的密码和你的邮件。这个就是为什么 HTTPS 过去十几年,都是用在邮箱、金融等特别需要隐私的领域。

HTTPS 怎么来的?

几年前, 一位挪威同事刚从谷歌开会回来,我在走廊上面遇到他,看他一副垂头丧气的样子,随便问了一句 “你和谷歌会开得怎么样啊”。

挪威同事叹了口气 :“谷歌的人尼玛都活在 5 年以后啊”。

那个时候我年幼无知,还不能了解这句话的真实含义,直到最近加入 Chromium 安全讨论组,才真正了解到这句话背后的气势。

基本上 Chromium 安全讨论组里面充斥着的都是这种话题:

我们要马上淘汰SHA-1! 因为 SHA-1 强度太低了。虽然预计再过几年就可能会被破解, 我们今天就淘汰它吧。

SSL 状态放到 HTTP cache 可能会受到攻击,需要马上改!

TLS DH group size 最少应该提高到1024 bit, 因为 INRIA, Microsoft Research, John’s Hopkin 大学已经证明低强度的 TLS DH group 不安全了。

人家证明的是 512 bit 不安全, 768 bit 估计可能会被大学级别的资源破解, 你上来就最低 1024 bit,还给不给活路了啊——

We carried out this computation against the most common 512-bit prime used for TLS and demonstrate that the Logjam attack can be used to downgrade connections to 80% of TLS servers supporting DHE_EXPORT. We further estimate that an academic team can break a 768-bit prime and that a nation-state can break a 1024-bit prime.

(我们按照这个计算方法可以破解使用 512 位质数加密的 TLS 链接。 同时也展示了 Logjam 攻击可以用来对 80% 的支持 DHE_EXPORT 的 TLS 服务器的链接进行降级。我们进一步估计一个学术团队,以其掌握的资源的知识,有可能破解一个 768 位的质数, 而一个国家的力量可能破解一个 1024 位的质数。)

好吧, 谷歌兄们都是想得很远的。

有一个每天“杞人忧天”的安全组其实也不是坏事,最近 Flash 爆出 0 day 漏洞的时候其实 Chromium 安全组两年前就警告过像 Flash 这种 NPAPI 插件是有安全问题的,说明安全组的同学们还是很有先见之明的,关于 NPAPI 插件问题之前我在雷锋网专栏文章里面提到过:谷歌浏览器禁止Flash?少年,你不是当真了吧?

神经质一样地活在未来的安全组最近发布了一个二季度总结:TOC-Q2-2015

今天就讲讲里面一个很有意思的东西:

安全组的同学说,我们认为(全面) 转向使用 HTTPS 是保证安全唯一途径。号召大家都转向 HTTPS:

We see migration to HTTPS as foundational to any security whatsoever, so we’re actively working to drive# MOARTLS across Google and the Internet at large.

这个说法其实一季度的时候就已经碎碎念了一次, 二季度报告里面,居然又放进去了。

实际上,如果你稍微留意一下,你会发现很多国外的网站已经开始这样做了。

比如在浏览器里面键入 www.google.com, 你会看到:


或者是 facebook.com:

就连白宫,也会是:

注意到那个绿色的 https 没,因为就算你没有写 https, 目标网站也会自动跳转到 https 上面去。

对比一下国内的网站,比如 qq.com, 并不会有这个行为:


我观察了下,国内强制使用 https 的看起来百度应该算是一个:

为了安全,转向HTTPS?

What!发生了什么?为什么大家突然纷纷摒弃 HTTP 全面投入 HTTPS 的怀抱呢?而且谷歌还在大力推行,建议每一个网站,都换为 HTTPS!

要知道,HTTP 已经存在快 20 年了。 而从 HTTP 迁移到 HTTPS 对大部分网站来说,是一个不小的决定:

1 [2]
最新信息
热点信息
 
重庆市南岸区南坪西路金台大厦1908(400060)

讯迈科技系专业的重庆网站建设公司,通过完成一系列的重庆企业网站建设、重庆政府网站建设工作,为客户提供了优秀而卓有成效的网站建设及SEO网站推广服务,并逐渐成为重庆网站建设公司中的佼佼者。