4月的下旬,大家都在兴奋的筹划五一出游,纷纷上网查看攻略,订车票、订酒店。然而这些行为可能把你的个人隐私信息泄露出去了。
近日,洲际酒店集团(IHG)发布了一份数据泄露报告,报告中指出,包括皇冠假日酒店、假日酒店、烛木套房、金普顿酒店在内的超过1200家酒店出现数据泄露现象。据了解,泄露信息包含个人身份证号码、联系方式、银行卡信息等等。
上周,12306网站被爆用户数据又遭泄露,退出个人登录竟自动转登他人账号,且可以查看到与账号相关联的身份证号、联系方式等个人信息。在2014年12306网站被披露存在用户数据泄露漏洞,导致大量用户数据在网络上传播,涉及用户账号、明文密码、身份证件、邮箱等信息。
近段时间信息泄露事件还不止这些,本月的17日,上亿条优酷账户信息数据库在暗网售卖,该数据库售卖价格定为比特币 0.2559,人民币约 2065.56 元。上个月底,58同城全国各地的用户简历信息在淘宝上直接被明码标价售卖。
然而,以上种种信息泄露事件因为明文信息、信息加密强度不够、信息安全漏洞、恶意软件等等原因,到导致各种的个人信息泄露。其实以上的网络平台皆已经使用https加密传输,为什么仍然会发生信息泄露事件?
据最新的百度安全指数数据分析,HTTPS正被越来越多的网站和企业使用。但进行正确的HTTPS配置和安全部署情况并不乐观,安全指数分析了全网13288198个网站,其中有1089693个网站使用了HTTPS,占比8.2%。使用HTTPS的网站中有1080884个网站存在配置或安全问题,占比99.19%。
中国互联网网站HTTPS使用和安全情况: 、
百度安全专家表示,部署HTTPS不是一件一劳永逸的事情。这些99.19%网站的问题主要体现在两方面。
首先是证书问题。不少网站使用的证书都存在各种各样的问题,归结起来主要是使用不靠谱的免费证书、不安全的证书签名算法、证书主机名与域名对不上和证书过期等。例如12306网站的证书是自签的SSL证书,在chrome登录直接被标识为不安全网站。
其次是漏洞问题。比如OpenSSL的心脏出血漏洞,攻击者在一个心跳请求中可以获取到服务器进程中最大为64KB的数据,通过发出多个这样的请求,攻击者就可以无限制地获取内存数据。其他的还有OpenSSL CSS注入漏洞、协议降级漏洞、不安全重新协商漏洞等。
为什么要部署https
1、更好地保护用户的隐私。
在HTTP时代,用户所有浏览数据都是明文和服务器之间交互的,可能会被窃取和修改。比如在公共场合连接的 WIFI 热点。使用HTTPS以后,因为对于传输过程和数据都进行了加密,避免了中间节点的监听,密码和隐私泄露风险得到很大程度的降低。
2、避免用户访问到伪造的服务器。
用户访问网站被指向伪造的页面上,之后会发生多少不可想象的事情?HTTPS认证用户和网站真实性机制,可避免劫持伪造。
3、HTTPS 还可以防止流量劫持
用户在访问网站时,可以不被流量劫持插入的广告打扰了。
流量劫持实例(左图是劫持页面,右图为正常页面):
如何部署安全的HTTPS呢?
l 不使用不安全、老旧的SSL/TLS(安全套接层)版本,这就是在用户资料及传输数据在到达目的地前的加密保障,所以绝不可大意;
l 部署HSTS,它可以拦截所有与网站进行的不安全的通信,支持HSTS能够大幅度提高网站安全性;
l 在白名单里寻找证书颁发对象(CA),站长们可以强制指定心悦的CA来签发指定的证书!
SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密到通道。关于更多SSL证书的资讯,请关注GDCA(数安时代)。GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。
文章来源于https://www.trustauth.cn/news/security-news/13617.html