我访问的网站不属于非法网站,为何浏览器会有安全提示?莫非当前访问的是个假网站吗?
文 | 中国电子银行网 毕鑫龙
“您与此网站之间建立的连接不安全,请勿在此网站上输入任何敏感信息(例如密码或者信用卡信息),因为攻击者可能会盗取这些信息”。
图1 浏览器关于网站不安全的相关提示
当您访问的网站出现这样的提示时,不知您心中是否和笔者一样存在两个疑虑?
疑虑一:它是李逵还是“李鬼”?
我访问的网站不属于非法网站,为何浏览器会有安全提示?莫非当前访问的是个假网站吗?
答案是不一定。
在2017年1月,Chrome 56首次将带有密码或信用卡号码的网页标记为“不安全”。2018年7月,Chrome 68将所有HTTP网站标记为“不安全”。故当前所有采用HTTP协议的网站均会出现以上风险提示,即便该网站真实合法。
因HTTP协议无法实现身份验证,网站存在被仿冒、钓鱼风险。而钓鱼网站通常会伪装成目标网站,仿冒真实网站的URL地址以及页面内容,诱导用户在仿冒的网页上操作,进而窃取用户提交的帐号、密码、个人信息等私密信息,带来数据安全问题,造成数据泄露。
疑虑二:我的信息真的会被盗取吗?
作为采用HTTP协议的网站,是否真的存在信息被盗取的问题呢?下图将通过技术手段进行直观的效果展示,助您寻找真实的答案。
图2 HTTP数据包分析(敏感信息已特殊处理)
由图2可见,由于HTTP协议采用明文传输,通过某些数据抓包软件,可轻易劫取网页传输数据包中关于用户名、密码、用户信息等敏感信息,造成用户数据泄露,进而引发相关安全事件。
而随着国家大数据发展战略加快实施,大数据技术创新与应用日趋活跃,产生和集聚了类型丰富多样、应用价值不断提升的海量网络数据,成为数字经济发展的关键生产要素。而数据过度采集滥用、非法交易及用户数据泄露等数据安全问题日益凸显。
为此,国家先后颁布了《网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《互联网信息服务管理办法》等法律法规,对网络运营者关于做好用户个人信息保护、数据安全防护等均提出明确要求。
对于网络运营者,应积极落实国家相关法律法规,切实维护用户及自身利益,共同维护国家网络安全、数据安全。针对以上问题,网络运营者和用户可采用以下措施:
1. 拒绝HTTP,给网站加个“S”
HTTP协议采用明文传输,无法加密,无法验证网站真实身份。网站应尽快升级更加安全的HTTPS协议,并采用全球信任的服务器证书,进而提高网站安全等级、可信度和企业形象,给网站及企业增加一把“数据安全守护锁”。
2. 养成良好上网习惯,提高安全意识
用户要养成良好的上网习惯,提高安全意识,尽量较少的公开自己的个人信息,减少HTTP网站访问,尽量不在公共场所或他人电脑上登录涉及资金等重要网站,以免给自己带来不必要的损失。
中国金融认证中心(CFCA)作为目前中国大陆境内唯一全部入根各大操作系统及浏览器的CA机构,可颁发支持IE、Chrome、Safari、Firefox、安卓、iOS环境的全球信任服务器证书。