安全專家指出，不論最終用戶所在的網(wǎng)絡(luò)是多么安全，為了防止出現(xiàn)被“竊聽”的情況，在連接的時間都依然需要啟用安全超文本傳輸協(xié)議(HTTPS)。

守護使亞太區(qū)首席技術(shù)官保羅·達克林提醒公眾和企業(yè)不要對“可信網(wǎng)絡(luò)”概念抱有過多的信心。

“即便單位或者家里的網(wǎng)絡(luò)屬于值得信任的，數(shù)據(jù)包也需要通過互聯(lián)網(wǎng)進行傳輸才能到達另一端的網(wǎng)站”，在接受ZDNet亞洲的電子郵件采訪時，他解釋說。“對于單獨的互聯(lián)網(wǎng)交易來說，HTTPS的效果就類似特殊用途的虛擬專用網(wǎng)絡(luò)(VPN)”。

在一封電子郵件中，賽門鐵克新加坡的系統(tǒng)工程經(jīng)理羅尼·吳指出：“沒有網(wǎng)絡(luò)是完全安全的”，所有網(wǎng)絡(luò)中的未加密流量都屬于可以被“嗅探”的。

“從使用者到目標網(wǎng)站的過程可能需要路由經(jīng)過多種網(wǎng)絡(luò)，在這一過程中上行流量的安全性并不能被確保，問題的關(guān)鍵依賴于流量通過的通信服務(wù)供應(yīng)商、互聯(lián)網(wǎng)服務(wù)供應(yīng)商或組織網(wǎng)絡(luò)的設(shè)定”。

不過，藍外套公司的技術(shù)傳道者喬納森·安德烈森指出：由于惡意軟件帶來的威脅正在日益復(fù)雜，HTTPS也并不一定能確保絕對安全。

“【網(wǎng)絡(luò)犯罪分子】可以選擇利用動態(tài)網(wǎng)絡(luò)鏈接來對信任和受保護位置進行攻擊，”他說。“通過使用動態(tài)鏈接模式，網(wǎng)絡(luò)犯罪分子就可以實現(xiàn)對基礎(chǔ)設(shè)施進行攻擊的行為，這一過程中僅僅需要改變的就是惡意軟件的使用位置”。

“因此，僅僅對數(shù)據(jù)進行加密處理，并不能完全解決動態(tài)惡意軟件帶來的問題。”

按照安德烈森的說法，大多數(shù)電子商務(wù)和社會化服務(wù)網(wǎng)站已經(jīng)啟用了HTTPS，為用戶提供額外的安全保障。他進一步補充說，在今后的五年里，隨著一半以上的企業(yè)選擇部署基于安全套接層(SSL)協(xié)議的應(yīng)用，在企業(yè)數(shù)據(jù)流量中HTTPS將占據(jù)主導(dǎo)位置。

但是，按照專欄作者斯科特·吉爾伯特在本月初發(fā)表文章中的說法，　盡管HTTPS屬于當前可以提供的最安全連接方式，但網(wǎng)站往往會處于速度和成本方面關(guān)鍵因素的考慮而沒有選擇部署。

引用萬維網(wǎng)聯(lián)盟網(wǎng)絡(luò)服務(wù)活動主管伊夫斯·拉豐的說法，吉爾伯特解釋了相關(guān)原因。HTTPS不容許緩存的限制會讓整個連接過程變得緩慢，對于視頻類網(wǎng)站來說，這是一個很大的問題。

在文章中拉豐指出，與超文本傳輸協(xié)議(HTTP)相比，HTTPS在部署和運營方面的花費也更高，對于小網(wǎng)站來說，這是一個很關(guān)鍵的問題，“如果網(wǎng)站突然變得非常流行，就會出現(xiàn)聚沙成塔的大問題”。

不過，守護使的達克林再次強調(diào)，對于包含了與用戶個人信息相關(guān)數(shù)據(jù)的網(wǎng)絡(luò)會話過程來說，應(yīng)該盡量選擇使用HTTPS。

這位IT資深專家指出：“這里說的，不應(yīng)該僅僅是包含用戶名、密碼和信用卡號碼之類的機密信息，所有讓瀏覽會話與其它人不同的信息都應(yīng)該被包括在內(nèi)。舉例來說，我賬戶文件中的信息或者電子郵件中的內(nèi)容都屬于這種情況。”

他警告說，對于所有的連接會話，包括Facebook和Twitter在內(nèi)的網(wǎng)站都選擇使用一個由服務(wù)器發(fā)送給瀏覽器的秘密“會話cookie”來保存信息。這樣的話，直到注銷為止，用戶只需要輸入一次用戶名和密碼，此類信息必須采用HTTPS進行加密處理。

他進一步補充說，否則的話，網(wǎng)絡(luò)上的其它用戶就有可能竊聽并獲取到用戶的會話cookie，從而獲得郵件或者推特中的信息，這就是俗稱的“HTTP會話劫持”類黑客攻擊。

當被問及終端安全技術(shù)是否可以幫助HTTPS將連接安全性進一步提高時，達克林和賽門鐵克的吳經(jīng)理指出，被惡意軟件感染的弱終端可能會容許攻擊者查看加密之前的詳細流量情況。

藍外套的安德烈森補充說：“由于確保了加密數(shù)據(jù)的安全，HTTPS為企業(yè)提供了多層次的防御措施。另一方面，終端安全工具也不是總可以捕捉到實時威脅;舉例來說，防病毒工具就可能被用戶禁用”。

盡管所有的三位專家都一致認為HTTPS確實屬于安全的網(wǎng)絡(luò)標準，但來自賽門鐵克的吳還是指出了一個“漏洞”，可以為網(wǎng)絡(luò)犯罪分子提供幫助。

“對于惡意的網(wǎng)絡(luò)攻擊者來說，獲得用戶正在訪問的域名也可以帶來幫助”，他指出。“互聯(lián)網(wǎng)上當前使用的傳輸層安全(TSL)和SSL之類的安全協(xié)議對這方面沒有足夠的重視。從這一意義上來說，HTTPS的應(yīng)用是比較有限。”

【編輯推薦】

1. NSA Suite B加密：機密網(wǎng)絡(luò)安全法寶
2. AES加密算法強度被削弱
3. 解析基于NTFS的EFS加密與解密及私鑰導(dǎo)出
4. 最差做法 加密失誤
5. 郵件加密成趨勢　省級移動公司擬意向