脸书因默认加密Web访问而受到赞誉

转移到HTTPS将保护用户通过公共Wi-Fi网络访问社交网络

周一,Facebook决定加密与数百万北美用户所有通信的决定,赢得了安全专家的称赞,他们表示此举将保护公共Wi-Fi网络上的用户。

脸书 quietly rolled out secure hypertext transfer protocol (HTTPS) last week, announcing in its Developer Blog (//developers.facebook.com/blog/post/2012/11/14/platform-updates--operation-developer-love/) that all communications would be over the secure connection by default. Before the announcement, users had to opt-in, which typically leads to low adoption rates.

HTTPS keeps the session cookie encrypted between logging in and logging out, preventing hackers from hijacking the session and impersonating the user. Google started rolling out HTTPS for all its services in 2010, while Twitter enabled the encrypted protocol by default in February. (http://www.calendariobolsafamilia2018.net/article/700427/twitter-enables-https-by-default)

对于支持所有主要互联网公司使用HTTPS的安全专家而言,Facebook的加入是一个可喜的消息。 Qualys首席技术官Wolfgang Kandek说:“这是一件重要的事情,每个人都应该这样做。” “这特别重要,因为Facebook正在更多地进入电子商务。”

在2010年,发布了一个基于浏览器的名为Firesheep的插件,突出了HTTPS的重要性。由安全开发人员埃里克·巴特勒(Eric Butler)发布的Wi-Fi嗅探工具演示了服务器和用户PC之间交换Facebook和Twitter会话cookie的方式中的安全漏洞。 

相对简单的工具无需HTTPS就可以捕获通过公共无线网络传播的会话cookie。如果用户在未注销的情况下关闭其PC,则黑客可能 使用Cookie冒充网站上的用户.

[查看相关内容: Google保护其当前的HTTPS流量免受未来的攻击]

当演员阿什顿·库彻(Ashton Kutcher) Twitter帐户被劫持 在去年的Brainbox TED大会上。黑客通过未加密的Wi-Fi连接访问该帐户,并以他的名字张贴了涂鸦。 

多年来,由于对服务器处理能力的更高要求而担心性能下降,站点避免使用HTTPS。但是,当今功能更强大的处理器和其他技术进步已减轻了对性能的任何影响。

Sophos的高级安全顾问Chester Wisniewski说:“ SSL当然具有更大的处理能力,但它确实很小并且是增量的。” SSL或安全套接字层是HTTPS通信中使用的加密协议。

以Facebook为例,由于许多第三方网站都通过社交网络提供服务,因此实施HTTPS可能会变得复杂。例如Zynga等在线游戏制造商。

由于许多站点可能未使用HTTPS,因此Facebook必须找出如何使用其服务器作为与用户进行通信的中介。维斯涅夫斯基说:“那些是不容易解决的有效技术问题。”

但是,互联网公司必须接受基本安全性(例如HTTPS)作为必需的费用。 Wisniewski说:“如果您要经营自己的业务,则应该以安全可靠的方式为您的客户开展业务。” “而且,如果这要花您的钱和一堆设备,那是硬道理。这是业务成本的一部分。

版权© 2012 IDG通讯,Inc.