freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

保护网站防止流量劫持有效途径
2019-09-02 17:18:45
所属地 广东省

在互联网的世界里,流量就等于金钱。而流量劫持是指,利用各种恶意软件、木马病毒,修改浏览器、锁定主页或不停弹出新窗口等方式,强制用户访问某些网站,从而造成用户流量损失的情形。

浏览器一旦被篡改劫持,用户原有的使用习惯将被迫改变,即使自动弹出的窗口可关,也不胜其烦。用户体验变差还不是“浏览器主页劫持”最糟糕的后果,让人脊背发凉的风险还在于,存储在电脑上的个人资料如银行账号、密码等可能被窃取。更可恶的是,“浏览器主页劫持”发生之后,你想“自救”并不容易。有些可以通过重启电脑、卸载软件、重新设置浏览器、杀毒等简单操作来完成,有些则根本无济于事,非向专业人士求救不可。“浏览器主页劫持”令人深恶痛绝,可又无可奈何,普通用户根本斗不过潜伏于电脑另一端的“劫匪”。

当下的一些杀毒软件、防火墙等安全工具并不安全,它无法满足企业防止流量劫持所需。

在流量劫持者的眼中,明文传输也就是http是一大块肥肉。它的基数很大,漏洞百出,在流量劫持者眼中,是最佳的下手目标。利用明文传输自身的缺陷,网络黑客们不费吹灰之力,就可以对信息内容进行窃听、篡改和劫持。

faq_2019082901_clip_image001.jpg

流量劫持并不是想象中的防不胜防,是可以通过技术手段去解决,即https的加密方式。

相比于通信方身份和数据完整性无法验证的http协议,https是一个基于http的安全通信通道,它运用安全套接字层(SSL)进行信息交换,具有身份验证、信息加密和完整性校验的功能,可以保证传输数据的机密性和完整性,乃至服务器身份的真实性,进而有效避免http被劫持的问题。

为网站部署SSL安全证书便可将http网站升级到https。值得强调的是,这个证书必须是由知名的权威CA机构颁发,因为权威CA机构的证书通常存在大多数浏览器和操作系统中,能够被客户端用来检验网站SSL证书是否合法。

网站使用了权威机构,等于给网站通信装上一个保险柜,所有的信息数据传输都在加密环境下进行,流量劫持便无法轻易发生。在巨大的利益诱惑下,互联网中的流量劫持并不会消失匿迹,但可以肯定的是,构建https加密必将成为一个全球性的趋势。

在移动端,微信小程序要求同步小程序的网站,必须使用https协议;在PC端,谷歌、火狐、百度、360等搜索引擎均公开宣布,对https网站给予优先收录。在互联网巨头的全力助推下,http将成为过去式,构建全网https加密的时代正加速到来,让流量劫持再无可能。

目前,全球的网络安全都在处于加强防护的状态,各种的不安全的协议、条例都处于被淘汰的状态。如HTTP明文传输协议、FTP协议……都在列为不安全,逐步被HTTPS取代。做好了个人数据的防护,不仅能够有效避免数据泄露的危害,还能够大幅消除用户对于个人隐私泄露的疑虑。建议企业应注重提升网络安全保护,避免出现数据泄露事件。

以上,是为大家分享的“保护网站防止流量劫持有效途径”的全部内容,如果用户遇到的问题不能解决,可通过wosign官网客服寻求帮助,凡是选择wosign ssl证书的网站用户,wosign可提供免费一对一的ssl证书技术部署支持,免除后顾之忧。

原文链接:https://www.wosign.com/FAQ/faq_2019082901.htm

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者