【認證制度真唔真】GOOGLE CHROME綠鎖真的保證「安全」?
日期 : 2017年5月5日
機構 : 香港資訊科技商會 (HKITF)
作者 : 范健文
Google大力推行HTTPS,不單止會係Chrome網址列側寫明HTTPS網站為「安全 Secure」,更會提高它們在搜尋結果中的排名—— 不過HTTPS又能否保證網站完全安全?其實又未必!
什麼是「綠鎖」?
「綠鎖」是瀏覽器Google Chrome及FireFox的HTTPS政策。由今年1月起,如果你的網站已採用HTTPS加密通訊,Google Chrome的使用者將會看到你的網址列側標誌著綠色的「安全 Secure」;相反,如果你的網站安全性較低,你的網址會被標示為灰色「!」,更甚者,如果你的網站需要使用者輸入密碼或信用卡資訊,卻沒有採用HTTPS加密通訊,Google Chrome則會為你打上「Not Secure不安全」的標記。Firefox的標準和處理手法亦類似。
沒有HTTPS?你會被標上「不安全」的記號。(圖片來源:Google Developers)
採用HTTPS,你就是「安全」的。(圖片來源:Google Developers)
Firefox一樣用綠鎖(圖片來源:Mozilla Security Blog)
Firefox「不安全」的圖示有點不同(圖片來源:Mozilla Security Blog)
HTTPS有什麼要求?
網站需要申請安全性憑證 SSL (Secure Sockets Layer),才可以擁有HTTPS。此憑證是由憑證授權單位 (CA) 所核發,它是評估網頁伺服器和瀏覽器之間傳輸資料過程的安全技術標準,確保網站和用戶(end user)的溝通過程中有採取加密措施,防範「中間人攻擊」和第三方監控。
理論上,HTTPS的確可以協助用戶選用更安全的網站。不過我們需留意,所謂「安全」只是指數據傳輸過程夠安全,而不是指該網站的設計和用途是安全的!SSL並不能證實網站有否遭受「網頁竄改」(Web Defacement)」、SQL Injection或惡意廣告等攻擊,或證實網站有使用足夠的保安措施保護資料庫。早前有研究人員更發現,不少釣魚網站以內含 “PayPal”的域名成功申請SSL,挾HTTPS之名魚目混珠:
圖片:圖中左面才是真正的PapPal網站!
https://textplain.files.wordpress.com/2017/01/image46.png?w=848&h=380(圖片來源:textslashplain)
如上圖所示,只有寫清楚 “PayPal, Inc. [US]” 的網站才是得到認証的真正PayPal網站,右面寫上 “Secure”的網站雖有HTTPS,但卻是釣魚網站,目的是騙取你的帳戶資料!因此即使網站有HTTPS,用戶一樣要提高警覺!
Portions of this page are reproduced from work created and shared by Google and used according to terms described in the Creative Commons 3.0 Attribution License