美文网首页
30亿条个人信息被盗,全站HTTPS迫在眉睫

30亿条个人信息被盗,全站HTTPS迫在眉睫

作者: _U2_ | 来源:发表于2018-08-24 21:26 被阅读0次

本文首发于微信公众号:网络安全生命周期

原文链接:30亿条个人信息被盗,全站HTTPS迫在眉睫

【特大流量劫持事件】


据新华网报道,日前,浙江绍兴市越城区公安分局侦破一起特大流量劫持案,涉案主角瑞智华胜,涉嫌非法窃取用户个人信息30亿条,涉及百度、腾讯、阿里、京东、新浪和今日头条等全国96家互联网公司产品,几乎涵盖了国内主要互联网企业。

原来这家公司是通过流量劫持(HTTP劫持)的方式,非法收集个人信息并盗用用户认证凭据(Cookie)进行精准营销(加粉、点赞、发帖、添加广告等)。

【根因分析】


目前广泛使用的HTTP协议,由于是明文传输,往往会被劫持,其中用于身份认证的凭据(Cookie)很容易被窃取,此外劫持者还会在返回的网页内容中添加js脚本,用于展示广告等原始网页中并不存在的内容。

要避免被劫持,需要网站提供者,主动启用HTTPS,保护用户隐私,防止被劫持。但HTTPS会增加额外的成本开销,配置管理比较麻烦,网站经营者为了节省成本,往往不愿意主动使用HTTPS,从而损失了用户利益。

【解决方案】


针对证书的成本问题,中小企业、个人站长可以申请使用Let's Encrypt的免费证书,该证书早已被各浏览器支持。

针对证书的配置管理问题,可考虑使用统一的网关和证书管理器,比如交由Janusec Application Gateway统一管理,Janusec还会对私钥进行加密,加密后保存在数据库中而不是文件系统,大大降低了私钥泄露的风险(可查看文章《加密,防止网站证书私钥泄露》,其中介绍了Janusec是如何保护证书私钥的,私钥加密存入数据库,不在文件系统明文存放)。

Janusec Application Gateway,是一款基于Golang开发的应用安全网关,具备WAF、CC攻击防御、证书私钥加密、负载均衡、统一Web化管理等功能,欢迎体验试用,目前已开源,地址:   https://github.com/Janusec/janusec  

相关文章

  • 30亿条个人信息被盗,全站HTTPS迫在眉睫

    本文首发于微信公众号:网络安全生命周期 原文链接:30亿条个人信息被盗,全站HTTPS迫在眉睫 【特大流量劫持事件...

  • https全站时代

    前言 一直想写一个关于网页安全的,因为平时网上注册付款,还是打开一些网站连接我都非常小心,一定要看看网页上有没有一...

  • 全站HTTPS升级系列(三)nginx配置全站HTTPS

    前言 上篇,我们介绍了HTTPS的SSL证书,以及如何通过acme.sh生成并自动更新SSL证书。 本篇,我们介绍...

  • “北京时间”全站HTTPS加密,引领新闻网站加密趋势

    中国新型主流媒体网站“北京时间”开启全站HTTPS加密并启用默认HTTPS访问,用户通过HTTPS加密访问全站新闻...

  • Nginx设置全站HTTPS

    最近突然好多朋友要弄全站https,特意也整理了一下设置的方法 一、准备证书 首先科普一下SSL证书类型 按审核方...

  • 强制全站https访问

    不少人的个人博客已经启用SSL证书,可https访问,可如何强制全站都是https访问呢,以下以Nginx的con...

  • 实现全站HTTPS加密

    最近几年随着各种互联网安全事件的频繁发生,HTTPS逐渐取代HTTP,成为传输协议界的新标准。阿里巴巴集团也在淘宝...

  • Nginx rewrite 实例

    全站http 自动跳转 https 基于通信安全,全站在不影响用户访问的前提下实现 http 自动跳转 https...

  • Grpc+https 的那些坑

    "一个电商公司当然要全站 https"半个月前我们 CTO 这样说道,所以上个版本我们客户端开始全站 https ...

  • 部署全站HTTPS加密的7大建议

    ​新闻自由基金会采访了部署全站HTTPS的新闻机构人员,总结出部署全站HTTPS之前需要知道潜在问题、陷阱和建议。...

网友评论

      本文标题:30亿条个人信息被盗,全站HTTPS迫在眉睫

      本文链接:https://www.haomeiwen.com/subject/swgiiftx.html