漫谈SSL、浏览器与安全连接
借助SSL,可以鉴别网站和网页浏览者身份,使得浏览器与网页服务器之间能够进行加密通信,保证连接的安全,保护用户的私人信息不受攻击。
2008年8月在美国拉斯维加斯举行的第12届黑客大会上,有网络工程师表示,他开发了一个工具,可利用SSL的漏洞,在人们登录邮箱、查看网页或在线交易时窃取其帐号、密码、邮件内容等信息。这让我们再次注意到SSL这个最早由网景公司于1995年创建的安全技术,以及Web安全连接的重要性。
2008年9月初,Google在全球100多个国家和地区同步推出了自己的浏览器Chrome的测试版,除了界面简洁和一些功能创新之外,Google在浏览器的安全设置上也加大了对SSL的使用,以期让用户能更加安全地通过浏览器进行各种操作。
在一个没有暴力、没有偷盗、路不拾遗的环境里,人们不会担心自身财产的安全,不用设立警察局和监狱来防范和惩治可能面临的危险。同样,早期的互联网天下太平,浏览器也只是被用来访问静态的页面。后来,信用卡购物、在线银行、电子股票交易等应用越来越多,网络犯罪也日渐猖獗,迫切需要安全的连接。为此,SSL应运而生,随后被包括IE在内的浏览器所广泛采用。目前,SSL技术已几乎应用到所有主要的浏览器和Web服务器程序。借助SSL,可以鉴别网站和网页浏览者身份,使得浏览器与网页服务器之间能够进行加密通信,保证连接的安全,保护用户的私人信息不受攻击。
但是,一部法律再完备,也未必能得到有效执行,何况法律本身往往问题叠出。从1995年到1996年,SSL历经了三个版本。网景公司在1996年把SSL移交给互联网工程任务组(IETF)进行标准化,于是产生了TLS,也被称为SSL3.1版。尽管IETF只针对SSL所做的变化非常小,但即使这些小小的变化也足以使SSL3.0与TLS无法互相操作。同时我们也发现,SSL3.0也没有完全替代SSL2.0。版本混乱衍生出一系列难题,使网站服务商和用户都需要额外的工作来保证彼此之间的兼容性,实现有效的安全连接。然而,很多网站服务商并不愿意花费更多的劳动去解决问题,更不幸的是,绝大多数用户并不了解这些,他们通常只会使用浏览器和网页服务器的默认设置,等到真正出现连接问题,比如邮件内容泄漏,才有可能意识到连接安全的必要。
众所周知,在默认情况下启用无线路由器,无需密码认证就能与路由器实现连接,这在带来便利的同时也带来了安全隐患。同样,很多时候浏览器和网页服务器之间的默认设置并没有使用SSL,也就是说我们在非加密的条件下和服务器交换各种信息,这给攻击者提供了绝佳的机会。为什么网站服务商不提供永久性的SSL以对用户的所有操作进行加密?这个问题似乎很难回答。不过,有一点可以肯定,这就是为了服务商以及用户操作快捷、方便。SSL的作用是处理压缩和加密,这在无形中会给服务商带来更多的工作,也影响用户的访问速度。这就是为什么有些加密方法只在网上银行上使用的原因。想必用过网上银行的人都有所体会。所以,在便利和安全之间找到平衡点是今后有责任心的网络公司需要做的事情。
像病毒常常在局域网内泛滥一样,如果局域网本身安全功能不理想,即使有SSL护驾,也难免漏洞百出,尤其当局域网内有无线接口的时候。802.11网络的有效范围通常在几百米,如果一个人想要暗中监视一家公司,那么他只需早晨开车到该公司的停车场,把一台支持802.11协议的笔记本电脑留在车内以便记录下所有监听到的内容即可。到傍晚,该电脑的硬盘上就充满了各种有价值的信息。在理论上,这种泄漏是不应该发生的。同样地,在理论上,人们是不应该去抢劫银行的。 |