网络交互是否都需要加密

标签: IT技术 HTTPS 网络安全 | 发表时间:2012-04-12 03:44 | 作者:潘文佳
出处:http://blog.jobbole.com

导读:Coding Horror近期一篇关于网络加密的文章,作者是 StackOverflow 创始人 Jeff Atwood。在网络完全越来越引起关注的移动时代,此文更加像一位互联网老者对新人们和网络未来的殷切期待。它里面提纲性地提到了HTTPS的实现和网络交互加密的重要性,并且涉及了Google最近正在研发的新协议,适合网络开发人员作为参考来发散性研究。以下是全文

Wifi 的大范围推广虽然方便了很多用户移动办公,但是便捷的同时,wifi自身存在的安全隐患却不容小觑。在我2010年的一篇关于通过窃听网络交通(eavesdropper)来获取用户私人数据的 文章中有所提及。这个是整个网络架构存在的问题 (译者:有个说法就是TCP started broken。就是TCP本身存在问题,但是由于使用范围太广,矫正不过来),一时半会没有快速解决方案。现在很多网站都是通过使用HTTPS加密登录来”解决”这个无可避免的问题,来保护他们的用户。

譬如,Twitter在用户登录时就自动切换成HTTPS;这个很容易看出来,我这里就截个图简单展示一下:这个就说明这个链接加密了。

Twitter-https-encryption-indicators

我本来觉得这有点矫枉过正,除了emial/银行系统,是否有必要步步为营? Twitter大概有点私人数据,但是stackoverflow呢?很难说,我个人分享/评论/交流的观点有多私密呢?我并不是在乎那个小小的cookie,我在乎的是有人可能窃听(sniffing)我的所有网络数据,有种被跟踪的感觉。但是,加密了网络链接也不能排除这个可能性。

基于这种用户心态,网络 程序员们,你们觉得是否要加密呢?这个可以从以下几个因素来考虑。

ENCRYPT ALL THE THINGS

 

HTTPS 所用资源不多

在1999年,HTTPS是很费资源的;但是今天来讲,它很便宜,资源便宜。就看Gmail好了:

从2010年一月开始,Gmail把所有的网络交互都切换成HTTPS作为默认。如果大家还记得的话,之前是用户可以自己设置是否使用HTTPS。现在所有你的本机和服务器的交换都是默认的HTTPS,所有的,每一条。而且完成这个切换,他们没有更新硬件,没有添加任何新的机器,就完成了。在我们运营服务器上,SSL/TLS只占用了不到1%的CPU, 每个链接(connection)占用小于10kb的内存和不到2%的网络消耗(overhead)。很多人认为SSL会用掉很多处理器资源,希望这些数据能够给你们一些帮助。

HTTPS = 没有窥视

如果用了HTTPS,就时所有数据交互都加密了。也就是说你们的用户受到了以下的保护:

● 不会被窃取身份cookie

● 不会被窥视你在网络上干什么

● 不会窥视你发送了什么请求

● 不能感染交互过程

大多数用户会越来越多地使用公共wifi,裸奔似的上网方式完全可以通过后端来保护。

HTTPS 会越来越快

网络安全总归是有资源代价地, 网页链接加密也不例外。HTTPS是要比HTTP跑地慢,但是到底慢多少?以前呢,机密过的内容是不会缓存在网页 浏览器上地,但是现在这个已经不再如此, 所以也不会太慢。Google的 SPDY协议在传输层(transport layer)就自动加密,大大地提高了浏览器性能。SPDY的目标是要把SSL作为传输协议, 这其中一个挑战就是SSL延时比较厉害。现在还有  SSL False Start ,需要比较现代的浏览器,但是大大降低了在handshaking(必须但是巨费时)中延时的情况。 SSL加密永远不可能免费,但是会越来越快。

对登录用户加密是极具挑战,非常不容易的一项工程,尤其是对大型网站来说。虽然HTTPS的实现已经越来越方便,但是还是有很多困难点:譬如说proxy caching (代理缓冲)。有可能不是明天,或者明年,但是长期来讲,对登录用户使用HTTPS,机密网络链接,是网络健康发展的大方向。这个需要我们共同的努力,为了一个方便、快捷、默认的HTTPS时代。

 

作者: Jeff Atwood   编译: 伯乐在线 – 潘文佳

【如需转载,请标注并保留原文链接、译文链接和译者等信息,谢谢合作!】

 

相关文章

相关 [网络 需要 加密] 推荐:

网络交互是否都需要加密

- - 博客 - 伯乐在线
导读:Coding Horror近期一篇关于网络加密的文章,作者是 StackOverflow 创始人 Jeff Atwood. 在网络完全越来越引起关注的移动时代,此文更加像一位互联网老者对新人们和网络未来的殷切期待. 它里面提纲性地提到了HTTPS的实现和网络交互加密的重要性,并且涉及了Google最近正在研发的新协议,适合网络开发人员作为参考来发散性研究.

SHA-1加密算法破解现已只需要10天

- - 博客园_新闻
SHA-1 是如今很常见的一种加密哈希算法,HTTPS 传输和软件签名认证都很喜欢它,但它毕竟是诞生于 1995 年的老技术了(出自美国国安局 NSA),已经渐渐跟不上时代,被破解的速度也是越来越快. 来自法国、荷兰、新加坡的三位科学家搞了个项目“ The Shappening”,利用碰撞攻击的方式研究破解 SHA-1 算法,他们称之为“Freestart Collision”.

我们暂时还不需要千兆网络

- littlepush - Solidot
今天的大多数电脑不支持千兆网络连接(网速在1Gbps以上),今天的Wi-Fi网络也无法提供如此高的网速. 一家ISP的初步测试显示,在普通笔记本上千兆网速降低到只有420 Mbps,笔记本无法处理1Gbps. 此外,目前的应用也很少需要如此高的网速,除非是在线备份服务,上传图像、音乐和视频,可以将数海量内容在几分钟内一次传输完,但此类需求多是一次性的,无法为客户提供持续的益处.

ISP测试:我们暂时还不需要千兆网络

- 洞箫 - cnBeta.COM
今天的大多数电脑不支持千兆网络连接(网速在1Gbps以上),今天的Wi-Fi网络也无法提供如此高的网速. 一家ISP的初步测试显示,在普通笔记本上千兆网速降低到只有420 Mbps,笔记本无法处理1Gbps.

Cookies未加密:WordPress账户被曝存在“开放网络”隐患

- - cnBeta.COM
通过开放Wi-Fi网络访问Internet的人们,它们的WordPress网页将很有可能遭到劫持(即使已经开启了两步验证). 这个新漏洞是由电子前沿基金会(EFF)一位名叫Yan Zhu的技术人员发现的. 其原因是,当你访问WordPress的时候,该网站会发送一个纯文本的cookie,而非加密cookie.

40个安全专家需要知道的网络安全数据

- - FreeBuf.COM | 关注黑客与极客
随着互联网的不断发展,网络安全威胁也日益增长. 为了便于IT安全人员及时的掌握和了解当前的安全环境,许许多多的行业调查,供应商报告和研究报告也随之而来. 而面对如此规模庞大的报告数量,不免让我们感到有些眼花缭乱. 为此,我对大量的分析报告进行了梳理,以便于大家更好地阅读和了解这些内容. 以下是关于数据泄露,新兴威胁,软件漏洞,合规性相关问题,网络安全技能等问题的报告集合.

网络

- 火锅土豆 - 科学松鼠会
本文地址(转载请注明出处): 复制.

Google 需要性爱

- cantrip - 酷壳 - CoolShell.cn
看到一篇趣文Google Needs Sex,翻译过来. Brad DeLong 给我们写了 两篇关于“Google遇到的麻烦”的文章(墙),这两篇文章基本上是说, 制造网络欺诈和网络垃圾信息的人会尽其一切努力来和搜索引擎进行博弈,这样一来,其会让搜索到的结果对我们越来越没有帮助(译注:百度的竞价排名成为了制造网络欺诈和网络垃圾信息甚至洗脑的温床).

都需要过程

- Terence - 左岸读书_blog
我一直相信,这个世界所有的事情都建立在一定的规则之上,最根本的规则. 其上一切规则都要依次规则,一旦上层规则违背了底层的规则,则必然会出现问题. 而那些根本的规则,其实在最初我们就已经知道,只是无法意识到. 记得有一句好象是说:最初,看山是山,看水是水;然后,看山不是山,看水不是水;最后才发现,山仍然山,水仍然是水.

加密锁和云授权

- MArCoRQ - 月光博客
  在中国,加密锁仍然是占主导地位的软件保护方式. 近30年来,计算机硬件不知更新了多少代,软件技术也从上世纪90年代起进入了互联网时代,而加密锁保护方式却一直没有改变,顶多从原先的并口锁进化到USB锁,这是为什么呢.   这是因为,30年来,软件的盗版依然存在,人们却没有找到应对盗版更好的办法. 另外,传统的观念认为,加密锁具有安全强度高、软件授权可随加密锁移动使用优点.