留言討論


分享本文至 E-mail 信箱

如何確保上網時隱私資料有保障?認識 “https” !

HTTP(Hypertext Transfer Protocol)是一種瀏覽網路時所用的數據通訊協定,如果你在使用時曾留意過,大概會知道網址會是以「http://」為開頭。至於HTTPS(Hypertext Transfer Protocol Secure),簡單來說就是HTTP的安全版本,你可能曾在進行機密交易的時候看過,像是使用線上銀行或網路購物。若你正在使用網站中特別被保護的部份,網址列則會以「https://」開頭。

當你使用手機進行涉及敏感資訊的通訊時,請確保你的線上活動都是在安全連線中進行,不論是搜尋或閱讀資料、傳送Emai、寫部落格、或是上傳照片,都是如此。安全的線上瀏覽有三個要素:

  • 數據必須要以加密的形式傳輸,萬一遭攔截時也無法解讀。
  • 傳輸敏感資訊之前,必須要驗證網站的識別碼。
  • 如果你不希望任何人知道你存取了某個網站,傳輸的來源端要隱藏或者保持匿名。

HTTPS就提供了前兩個功用。遠端網站的識別碼,可藉由確認其憑證來加以驗證其是否安全,而憑證正是被用於交易的加密上,只有傳輸者和被驗證為安全的網站可以解密。如果你也需要隱匿資料,除了HTTPS之外,你應該用proxy或像是Tor這樣的服務。

如何確保自己的瀏覽是安全的?

確保你的瀏覽安全首先有兩件簡單的事要注意:

每當你要輸入你自己的私密資料時,像是你線上帳戶的使用者名稱和密碼、信用卡資料、照片或影片等,確認上述兩件事會有所幫助。不過要注意的是,某些網站可能只有針對某些動作支援HTTPS,其他像是Twitter和Facebook,可能會允許你開啟一種總是使用HTTPS的設定,但在網站行動版的部分則預設為HTTP

那靠HTTPS就夠了嗎?

甚至在你使用HTTPS的時候,雖然可能性不大,你的通訊還是可以被監聽。下列的兩種攻擊手法常被用於獲取你未加密的通訊內容,包括密碼、身分證字號或信用卡卡號之類的重要資料。

一、中間人攻擊(man-in-the-middle attack):有心人士可以透過和你身處相同子網路的方式(通常是開放的WiFi網路),在你和遠端網站間截斷你們之間的通訊。也就是說,你以為你是在跟遠端網站通訊,但實際上的對象是入侵的中間人;反之亦然,遠端網站也會誤以為是在跟你通訊。

二、憑證授權單位(certificate authority)遭到攻擊:攻擊者取得憑證授權單位的控制權,而且有能力發佈假的SSL憑證。在這個狀況中,當你試圖識別遠端網站,一切反應將如你所預期,如同你平常使用的郵件或銀行服務,但事實上卻是不懷好意的冒牌網站。憑證授權單位Comodo最近一次遭到的攻擊,就讓位於伊朗的攻擊者發佈了有效的憑證給Gmail、Skype和Hotmail。

怎麼做,更安全?

  • 當你用手機瀏覽時,特別注意那些未知或看起來很可疑的網站。
  • 在你要用手機進行涉及敏感資料的通訊前,可以先在一般電腦上使用安裝過最新修補檔的瀏覽器,確認其是否安全。
  • 當你存取你常使用的網站時,留意任何不尋常的警告訊息。這種警告訊息,是瀏覽器提醒你網站的網址和授權憑證的網址有所出入。這通常是因為某種管理錯誤,但也可以是中間人攻擊的警訊。
  • 如最œ你是智慧型手機用戶,要確保你的行動版瀏覽器和作業系統都經常更新。

資料來源:Using HTTPS for Secure Mobile Browsing—MobileActive.org

相關資料:

什麼是中間人攻擊?

資訊安全公司F-Secure針對Comodo遭到攻擊的報告書

發現行動版瀏覽器弱點的案例—Google開發的第一支Android手機G1(不過這是08年的文章了)

 

關於作者


節點

「『節點』(Node)是運輸系統中一個重要的結構要素,通常指一群人共同活動的聚落。」台灣過去曾經是奇蹟的代表,但在這十年來的網路變遷當中,台灣卻不知不覺與世界脫節。所以PunNode期望能透過資訊的流通,消弭台灣與全球產業的鴻溝。本帳號將會發表各方投稿,針對ICT創業提出心得與建議,也歡迎你跟我們聯繫。

留言討論


網站更新隱私權聲明
本網站使用 cookie 及其他相關技術分析以確保使用者獲得最佳體驗,通過我們的網站,您確認並同意本網站的隱私權政策更新,了解最新隱私權政策