你的網頁還在洩露信息?HSTS或是拯救者

發布日期:2017-09-18首頁 > 安全資(zī)訊

 問一(yī)個問題:你在浏覽器上填寫網站地址時,是從http開(kāi)始的,還是從www,還是直接輸入zol.com.cn。以筆者爲例,用的是谷歌浏覽器,每次進入中(zhōng)關村(cūn)在線首頁,都直接輸入“zol”回車(chē),浏覽器會自動跳轉到中(zhōng)關村(cūn)在線首頁。你可能都沒有意識到,其實浏覽器爲我(wǒ)們省略了很多步驟,這當然很好,但也可能導緻信息安全問題。
 

8677-1F91Q3014bY.jpg
 

  對網絡熟悉的朋友肯定聽(tīng)說過“http”和“https”。簡單來說,二者相差的“s”就是英文安全Secure的縮寫。HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全爲目标的HTTP通道,因其安全性的特點,收到了谷歌等企業的信賴和推廣。爲了保證數據安全,在https協議中(zhōng)采用了很多種加密算法,諸如大(dà)家比較熟悉的哈希算法,還有對稱加密、非對稱加密和數字簽名等。比如哈希算法就是将任意長度的信息轉換成固定長度的數值,而且這種算法轉換采用的是脫敏方式,算法不可逆。
 

8677-1F91Q30210S6.jpg
 

  但問題是,目前我(wǒ)們真的用的都是https嗎(ma),即便都是了,就真的安全了嗎(ma)?

  答案必然是否定的。

  正如筆者在文章開(kāi)頭描述的場景一(yī)樣,根據用戶習慣,我(wǒ)們一(yī)般隻會在浏覽器中(zhōng)輸入相應的域名,并不會手動輸入“http”或“https”。此時,浏覽器爲我(wǒ)們代勞,而當前幾乎所有浏覽器都是默認填寫“hppt://”的。

  此時,網站管理員(yuán)一(yī)般會采用301/302跳轉的方式,由 HTTP 跳轉到 HTTPS,而這個過程中(zhōng)很有可能收到攻擊。此時,便體(tǐ)現了HSTS的功效。
 

8677-1F91Q30234455.jpg
 

  那麽什麽是HSTS呢?事實上,HSTS是國際互聯網工(gōng)程組織 IETF 正在推行一(yī)種新的 Web 安全協議,這種安全協議正是在網站跳轉時起到關鍵作用的協議,幫助用戶轉到安全鏈接。

  采用HSTS安全協議的優勢在于不但能夠增強數據傳輸安全性,避免在轉化過程中(zhōng)收到網絡攻擊,還可以減少網站 301/302 跳轉時所花費(fèi)的大(dà)量時間,極大(dà)提高安全系數和用戶體(tǐ)驗。(以上圖片來自網絡)