HTTPS是站安全問題救世主嗎

近日鬧的沸沸揚(yáng)揚(yáng)的網(wǎng)易郵箱數(shù)據(jù)泄露事件繼續(xù)發(fā)酵，幾日前烏云稱，根據(jù)白帽子報(bào)告，網(wǎng)易郵箱的用戶數(shù)據(jù)庫疑似泄露，數(shù)量多達(dá)5億條，其中包括用戶名、密碼、密碼提示問題和答案、注冊(cè)IP地址、生日等等，部分?jǐn)?shù)據(jù)甚至已經(jīng)在網(wǎng)上流傳。但隨后遭到易否認(rèn)，稱不存在自身數(shù)據(jù)庫泄露問題。而國家互聯(lián)網(wǎng)應(yīng)急中心昨天通報(bào)稱，網(wǎng)易郵箱存在泄露情況，但不支持“過億數(shù)據(jù)泄露”這一判斷。

無論爭相如何，網(wǎng)絡(luò)安全形勢嚴(yán)峻已是不爭的事實(shí)，而上個(gè)星期百略網(wǎng)也無端遭受了外部網(wǎng)絡(luò)攻擊，導(dǎo)致了一天的宕機(jī)。事實(shí)上我們對(duì)這種無良行為深惡痛絕，但在譴責(zé)這種犯罪行徑的同時(shí)，網(wǎng)絡(luò)安全也必須引起足夠的重視。

網(wǎng)站安全形勢嚴(yán)峻

從去年的iCloud好萊塢明星艷照、到Gmail、eBay數(shù)據(jù)泄密；從索尼遭遇黑客攻擊到12306網(wǎng)站用戶信息被出售，網(wǎng)絡(luò)安全事件層出窮，且有越演越烈的趨勢。

據(jù)360年初發(fā)布的2014年中國網(wǎng)站安全報(bào)告稱：

中國網(wǎng)站存在后門的網(wǎng)站數(shù)量大幅攀升

《報(bào)告》披露，目前有漏洞和高危漏洞的網(wǎng)站比例較2013年大幅下降，但網(wǎng)站存在后門的比例和絕對(duì)數(shù)量卻大幅攀升。2014年全年，360網(wǎng)站安全檢測共對(duì)覆蓋網(wǎng)站199.6萬個(gè)的8409臺(tái)網(wǎng)站服務(wù)器進(jìn)行了網(wǎng)站后門檢測，發(fā)現(xiàn)約3465臺(tái)服務(wù)器存在后門，占比41.2%，比2013年增多了7.4個(gè)百分點(diǎn)。

來自互聯(lián)網(wǎng)協(xié)會(huì)的網(wǎng)站安全報(bào)告也顯示

2013年，互聯(lián)網(wǎng)黑客地下產(chǎn)業(yè)仍然較為活躍，針對(duì)中國互聯(lián)網(wǎng)站的篡改、后門攻擊事件數(shù)量呈現(xiàn)逐年上升趨勢，其中政府網(wǎng)站是重要的攻擊目標(biāo)。

據(jù)了解網(wǎng)站遭受攻擊方式則主要有以下3種方式

網(wǎng)站篡改與后門

2014年全年，360網(wǎng)站安全檢測平臺(tái)共掃描各類網(wǎng)站164.2萬個(gè)，其中，被篡改的網(wǎng)站17.7萬個(gè)，約占掃描網(wǎng)站總數(shù)的10.8%。這也直接導(dǎo)致了釣魚網(wǎng)站的增多。而這些被篡改的網(wǎng)站也導(dǎo)致了用戶的信息泄露，繼而受到電信、網(wǎng)絡(luò)詐騙。

通過對(duì)8409臺(tái)網(wǎng)站服務(wù)器進(jìn)行了網(wǎng)站后門檢測，覆蓋網(wǎng)站199.6萬個(gè)，掃描共發(fā)現(xiàn)約3465臺(tái)服務(wù)器存在后門，占所有掃描網(wǎng)站服務(wù)器的41.2%。統(tǒng)計(jì)顯示，服務(wù)器刪除新發(fā)現(xiàn)后門的平均周期為8.28天。這種后門漏洞也導(dǎo)致了大量網(wǎng)站頻繁被黑。

漏洞攻擊

2014年全年，360網(wǎng)站衛(wèi)士共攔截各類網(wǎng)站漏洞攻擊7.0億次，平均每天攔截漏洞攻擊209.6萬次。

平均每月有11.0萬個(gè)網(wǎng)站遭遇各類漏洞攻擊，其中，11月是網(wǎng)站遭遇漏洞攻擊最為頻繁的一個(gè)月，平均每天約有6667個(gè)網(wǎng)站遭到漏洞攻擊。

流量攻擊

流量攻擊一般分為兩類：

1.通過帶有欺騙性的合法大量數(shù)據(jù)請(qǐng)求，大流量像洪水一樣來壓垮網(wǎng)絡(luò)設(shè)備和服務(wù)器；（類似于將通道堵塞，使交通癱瘓）

2.有意制造大量無法完成的不完全請(qǐng)求來快速消耗計(jì)算資源，使服務(wù)器沒辦法處理正常的事物和請(qǐng)求。（類似于不斷打騷擾電話，讓服務(wù)器沒辦法正常工作）

2014年全年，360網(wǎng)站衛(wèi)士共攔截各類CC攻擊205.0億次，平均每天攔截CC攻擊6138萬次。統(tǒng)計(jì)顯示，全年共有15.6萬個(gè)網(wǎng)站被遭遇CC攻擊。

全年，360網(wǎng)站衛(wèi)士平均每月攔截各類DDoS攻擊744.4Gb/s。5月（1389Gb/s）和7月（1444Gb/s）是全年攔截DDoS攻擊的高峰期。

網(wǎng)站安全問題頻繁，呼喚HTTPS

面對(duì)嚴(yán)峻的安全形勢，專家一直呼吁網(wǎng)站能用上加密技術(shù)。比如目前，計(jì)算機(jī)業(yè)界以及美國政府正在發(fā)起聲勢浩大、牽涉面極廣的網(wǎng)站加密運(yùn)動(dòng)，即HTTPS。

HTTPS是一種網(wǎng)站加密技術(shù)，在說HTTPS之前先講什么是HTTP，HTTP就是我們平時(shí)瀏覽網(wǎng)頁時(shí)候使用的一種協(xié)議。HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的，也就是明文的，因此使HTTP協(xié)議傳輸隱私信息非常不安全。為了保證這些隱私數(shù)據(jù)能加密傳輸，二十年前，網(wǎng)景公司設(shè)計(jì)了SSL（SecureSocketsLayer）協(xié)議用于對(duì)HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密，從而就誕生了HTTPS。簡單講是HTTP的安全版。

繼谷歌之后，百度也在今年年初已經(jīng)實(shí)現(xiàn)全站HTTPS加密搜索，不過我國網(wǎng)站的HTTPS加密普及率仍舊較低，HTTPS加密未來在中國仍然有很長一段路程要走。

HTTPS能解決網(wǎng)站安全問題嗎

不過網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)的工程，涉及到個(gè)人計(jì)算機(jī)的安全，協(xié)議的安全，傳輸數(shù)據(jù)的安全，以及軟件開發(fā)公司和網(wǎng)站的安全，單純的依靠一個(gè)HTTPS協(xié)議并不能解決所有的問題。

因此雖然采用HTTPS協(xié)議確實(shí)可以讓網(wǎng)站的安全性大大提高，但是HTTPS協(xié)議所針對(duì)的加密范圍較為有限，在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面卻起不到什么作用。

要不要采用HTTPS

那么“到底該不該采用HTTPS協(xié)議呢？”如果也有這個(gè)疑問的話，就想想怎樣做對(duì)你的用戶更友好吧！

如果網(wǎng)站屬于資金安全的電子商務(wù)、金融、以及用戶隱私的社交網(wǎng)絡(luò)等領(lǐng)域的話，那最好是采用HTTPS協(xié)議；反之；如果只是獲取信息的博客、宣傳類網(wǎng)站、分類信息網(wǎng)站、抑或是新聞網(wǎng)站等不要求用戶登錄的，可不必跟風(fēng)。畢竟使用HTTPS協(xié)議既耗錢，又浪費(fèi)精力，甚至由于加載緩慢，服務(wù)器資源占用高等原因在一定程度上不利于用戶的瀏覽體驗(yàn)。

正如360在分析報(bào)告中稱：企業(yè)網(wǎng)站與管理系統(tǒng)的主要安全問題往往并不是那些技術(shù)復(fù)雜度很高的網(wǎng)站漏洞，而是一些比較低級(jí)的技術(shù)錯(cuò)誤或人為的失誤，主要表現(xiàn)在以下三個(gè)方面：密碼安全性不足、運(yùn)維配置不當(dāng)、SQL注入漏洞。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。