【认证制度真唔真】GOOGLE CHROME绿锁真的保证「安全」?
日期 : 2017年5月5日
机构 : 香港资讯科技商会(HKITF)
作者 : 范健文
Google大力推行HTTPS,不单止会系Chrome网址列侧写明HTTPS网站为“安全安全”,更会提高它们在搜寻结果中的排名 - 不过HTTPS又能保证网站完全安全?其实又未必!
什么是「绿锁」?
“绿锁”是浏览器Google Chrome和FireFox的HTTPS政策。今年1月起,如果你的网站已采用HTTPS加密通讯,Google Chrome的使用者将会看到你的网址列侧标志着绿色的“ 安全安全“;相反,如果你的网站安全性较低,你的网址会被标示为灰色”!“,更甚者,如果你的网站需要使用者输入密码或信用卡资讯,没有采用HTTPS加密通讯 ,Google Chrome则会为你打上“不安全”的标记.Firefox的标准和处理手法亦类似。
没有HTTPS你会被标上「不安全」的记号(图片来源:Google Developers)
采用HTTPS,你就是「安全」的(图片来源:Google Developers)
Firefox一样用绿锁(图片来源:Mozilla Security Blog)
Firefox「不安全」的图示有点不同(图片来源:Mozilla Security Blog)
HTTPS有什么要求?
网站需要申请安全性凭证SSL(Secure Sockets Layer),才可以拥有HTTPS。此凭证是由凭证授权单位 (CA) 所核发,它是评估网页伺服器和浏览器之间传输资料过程的安全技术标准,确保网站和用户(end user)的沟通过程中有采取加密措施,防范「中间人攻击」和第三方监控。
理论上,HTTPS的确可以协助用户选用更安全的网站。不过我们需留意,所谓「安全」只是指数据传输过程够安全,而不是指该网站的设计和用途是安全 的!SSL并不能证实网站有否遭受「网页窜改」(Web Defacement)」、SQL Injection 或恶意广告等攻击,或证实网站有使用足够的保安措施保护资料库。早前有研究人员更发现,不少钓鱼网站以内含 “PayPal”的域名成功申请SSL,挟HTTPS之名鱼目混珠:
图片:图中左面才是真正的PapPal网站!
https://textplain.files.wordpress.com/2017/01/image46.png?w=848&h=380(图片来源:textslashplain)
如上图所示,只有写清楚 “PayPal, Inc. [US]” 的网站才是得到认证的真正PayPal网站,右面写上 “Secure”的网站虽有HTTPS,但却是钓鱼网站,目的是骗取你的帐户资料!因此即使网站有HTTPS,用户一样要提高警觉!
Portions of this page are reproduced from work created and shared by Google and used according to terms described in the Creative Commons 3.0 Attribution License
