跳至主要內容


【認證制度真唔真】GOOGLE CHROME綠鎖真的保證「安全」?


【認證制度真唔真】GOOGLE CHROME綠鎖真的保證「安全」?

日期 : 2017年5月5日

機構 : 香港資訊科技商會 (HKITF)

作者 : 范健文

 

Google大力推行HTTPS,不單止會係Chrome網址列側寫明HTTPS網站為「安全 Secure」,更會提高它們在搜尋結果中的排名—— 不過HTTPS又能否保證網站完全安全?其實又未必!

什麼是「綠鎖」?

「綠鎖」是瀏覽器Google Chrome及FireFox的HTTPS政策。由今年1月起,如果你的網站已採用HTTPS加密通訊,Google Chrome的使用者將會看到你的網址列側標誌著綠色的「安全 Secure」;相反,如果你的網站安全性較低,你的網址會被標示為灰色「!」,更甚者,如果你的網站需要使用者輸入密碼或信用卡資訊,卻沒有採用HTTPS加密通訊,Google Chrome則會為你打上「Not Secure不安全」的標記。Firefox的標準和處理手法亦類似。

瀏覽器Google Chrome顯示「不安全」的標記

沒有HTTPS?你會被標上「不安全」的記號。(圖片來源:Google Developers)

瀏覽器Google Chrome顯示HTTPS的登入網頁並有「安全」的標記

採用HTTPS,你就是「安全」的。(圖片來源:Google Developers)

瀏覽器Firefox顯示HTTPS的網頁並有綠鎖的標記

Firefox一樣用綠鎖(圖片來源:Mozilla Security Blog)

瀏覽器Firefox顯示非HTTPS網頁的標記

Firefox「不安全」的圖示有點不同(圖片來源:Mozilla Security Blog)

HTTPS有什麼要求?

網站需要申請安全性憑證 SSL (Secure Sockets Layer),才可以擁有HTTPS。此憑證是由憑證授權單位 (CA) 所核發,它是評估網頁伺服器和瀏覽器之間傳輸資料過程的安全技術標準,確保網站和用戶(end user)的溝通過程中有採取加密措施,防範「中間人攻擊」和第三方監控。

理論上,HTTPS的確可以協助用戶選用更安全的網站。不過我們需留意,所謂「安全」只是指數據傳輸過程夠安全,而不是指該網站的設計和用途是安全的!SSL並不能證實網站有否遭受「網頁竄改」(Web Defacement)」、SQL Injection或惡意廣告等攻擊,或證實網站有使用足夠的保安措施保護資料庫。早前有研究人員更發現,不少釣魚網站以內含 “PayPal”的域名成功申請SSL,挾HTTPS之名魚目混珠:

圖片:圖中左面才是真正的PapPal網站!

https://textplain.files.wordpress.com/2017/01/image46.png?w=848&h=380

(圖片來源:textslashplain)

如上圖所示,只有寫清楚 “PayPal, Inc. [US]” 的網站才是得到認証的真正PayPal網站,右面寫上 “Secure”的網站雖有HTTPS,但卻是釣魚網站,目的是騙取你的帳戶資料!因此即使網站有HTTPS,用戶一樣要提高警覺!

Portions of this page are reproduced from work created and shared by Google and used according to terms described in the Creative Commons 3.0 Attribution License

回页顶