天下网吧 >> 网吧系统 >> 系统动态 >> 正文

HTTP必死:谷歌是这样考虑安全的

2015-8-29不详佚名

公开的内容就不需要加密?不,业界并不这么认为。其实,Chromium安全组很早就开始全面推进HTTPS,目的是给这些公开的数据加密。国外网站大部分已经开始使用HTTPS,包括Facebook、白宫,而国内除百度之外还未普及。本文作者@罗志宇,混迹Opera十年的CTO,Opera是Chromium安全组成员,他将讲述安全链接(https)背后的故事。

HTTPS是什么?

如果你其实连HTTPS是啥都不知道,你可以先看看这篇文章。

简单地讲,HTTPS是加过密的HTTP。这样,由于网路上传输的数据是加密的,在浏览网页时,除了你自己可以看到你在看什么网页,第三方是无法得知你在干什么的。

保护私密数据其实是HTTPS过去十几年中起到的最大作用了。

比如你登入了你的邮箱,或者是你的网上银行,一旦使用HTTPS,那么数据在网上就不再是明文,于是第三方就看不到你的密码和你的邮件。这个就是为什么HTTPS过去十几年,都是用在邮箱、金融等特别需要隐私的领域。

HTTPS怎么来的?

几年前,一位挪威同事刚从谷歌开会回来,我在走廊上面遇到他,看他一副垂头丧气的样子,随便问了一句“你和谷歌会开得怎么样啊”。

挪威同事叹了口气:“谷歌的人尼玛都活在5年以后啊”。

那个时候我年幼无知,还不能了解这句话的真实含义,直到最近加入Chromium安全讨论组,才真正了解到这句话背后的气势。

基本上Chromium安全讨论组里面充斥着的都是这种话题:

我们要马上淘汰SHA-1!因为SHA-1强度太低了。虽然预计再过几年就可能会被破解,我们今天就淘汰它吧。

SSL状态放到HTTP cache可能会受到攻击,需要马上改!

TLS DH group size最少应该提高到1024 bit,因为INRIA, Microsoft Research, John’s Hopkin大学已经证明低强度的TLS DH group不安全了。

人家证明的是512 bit不安全,768 bit估计可能会被大学级别的资源破解,你上来就最低1024 bit,还给不给活路了啊——

We carried out this computation against the most common 512-bit prime used for TLS and demonstrate that the Logjam attack can be used to downgrade connections to 80% of TLS servers supporting DHE_EXPORT. We further estimate that an academic team can break a 768-bit prime and that a nation-state can break a 1024-bit prime.

(我们按照这个计算方法可以破解使用512位质数加密的TLS链接。同时也展示了Logjam攻击可以用来对80%的支持DHE_EXPORT的TLS服务器的链接进行降级。我们进一步估计一个学术团队,以其掌握的资源的知识,有可能破解一个768位的质数,而一个国家的力量可能破解一个1024位的质数。)

好吧,谷歌兄们都是想得很远的。

有一个每天“杞人忧天”的安全组其实也不是坏事,最近Flash爆出0 day漏洞的时候其实Chromium安全组两年前就警告过像Flash这种NPAPI插件是有安全问题的,说明安全组的同学们还是很有先见之明的。

神经质一样地活在未来的安全组最近发布了一个二季度总结,今天就讲讲里面一个很有意思的东西:

安全组的同学说,我们认为(全面)转向使用HTTPS是保证安全唯一途径。号召大家都转向HTTPS:

We see migration to HTTPS as foundational to any security whatsoever, so we’re actively working to drive# MOARTLS across Google and the Internet at large.

这个说法其实一季度的时候就已经碎碎念了一次,二季度报告里面,居然又放进去了。

实际上,如果你稍微留意一下,你会发现很多国外的网站已经开始这样做了。

比如在浏览器里面键入www.google.com,你会看到:

或者是facebook.com:

就连白宫,也会是:

注意到那个绿色的https没,因为就算你没有写https,目标网站也会自动跳转到https上面去。

对比一下国内的网站,比如qq.com,并不会有这个行为:

我观察了下,国内强制使用https的看起来百度应该算是一个:

为了安全,转向HTTPS?

What!发生了什么?为什么大家突然纷纷摒弃HTTP全面投入HTTPS的怀抱呢?而且谷歌还在大力推行,建议每一个网站,都换为HTTPS!

要知道,HTTP已经存在快20年了。而从HTTP迁移到HTTPS对大部分网站来说,是一个不小的决定:

HTTPS对硬件的要求要比HTTP高,这个意味着更大的开销,而更大的开销也就意味着需要花费更多的资金购买服务器。其他架构上面带来的成本可能就跟不用说了。

一定是发生了什么?!

可是看个白宫网站应该不算是隐私吧,为何这个也需要HTTPS来

本文来源:不详 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行