幾個月前,走訪一家IT廠商的過程中,我們無意間談到了Yahoo奇摩今年開始全面實施HTTPS加密連線,似乎是因為這個措施,而使得他們目前在客戶端所導入的安全管控系統,出現了一些始料未及的狀況──使用者電腦無法上網。

眾所皆知,Yahoo奇摩一直是許多臺灣的熱門網站入口,很多使用者電腦的瀏覽器首頁預設都是Yahoo奇摩,而那些可管控使用者上網行為安全的產品,也並非最近才興起的方案,為什麼會因為全站導入HTTPS的關係,而影響到用戶端上網呢?是不是既有的網頁安全管控設備會因此失效或誤判,所以導致這樣的狀況出現?對於這些問題,當時我們並沒有找出答案,於是引發後續一探究竟的動機。

還好,當我們開始去深入了解之後,發現情況沒有我們想像的那麼糟糕,就市面上中高階定位網路安全產品的功能來看,多多少少都可以支援,或搭配其他方案來解決。

而對於IT預算有限的中小企業而言,原本就不一定負擔得起現行許多的資安產品,因此也就不存在「本來可以管控但後來失控」的狀況。因為,這些能夠支援、偵測HTTPS加密連線流量功能,還沒有出現在一些價格較為平民化的本土產品上。

而且,在這樣資源有限的環境下,若要防禦藏在HTTPS流量的病毒、惡意程式,透過安裝在用戶端電腦的防毒軟體來進行,小公司也許比較能負擔得起這種作法。

但只有少數產品提供這樣的功能。據我們所知,個人版防毒軟體當中,像是ESET和Kaspersky在先前版本的產品當中,開始提供相關設定,預設不啟用;至於企業版防毒軟體,似乎只有ESET Endpoint Security 5之後版本支援。

關於從端點安全來解決的可行性,我們也詢問過一些廠商的看法,他們大多認為還是在閘道端做好防禦,比較適合,但現實的狀況是,這些小公司往往買不起這些多功能、高性能閘道設備,所以這個建議並不切實際。

探討這些解法的過程中,我們也在思考,像Yahoo奇摩這樣的網站,為什麼要全面實施HTTPS加密連線?是不是其他網站也採取同樣的作法?

答案是肯定的,而且全面並預設使用HTTPS連線的網站數量,遠遠超乎我們的想像。Google應該是所有網站業者態度最積極、且最有決心的,旗下所有的雲端服務的存取,不只是Gmail、Search、YouTube、Drive、Calendar、Blogger、Photos、Play,還包括Maps、News,全部是HTTPS加密連線。至於一些高人氣的社群網站,都是採取如此作法,像是Facebook、Twitter、LinkedIn。

旗下擁有許多網站服務的Yahoo,今年開始實施HTTPS連線,像是News、Mail、Flickr、Answer,以Yahoo Taiwan分站而言,多數人熟悉的新聞、知識+、購物中心、拍賣,也遵循同樣的方式。

如果反觀臺灣目前的本土網站,預設使用HTTPS的並不多。我們參考Alexa的臺灣百大網站清單來看,請新創資安公司Lucent Sky公司協助分析,結果,只有16個站這麼做,若扣除上述國際級網站,只剩不到5個,包括網路輿論重鎮──批踢踢實業坊,另外,還有美安臺灣公司和生活市集等網站,做到這樣的連線安全性。

對此,臺灣的網站似乎還有很大的努力空間。當然,身為使用者,我們也應該積極督促並要求站方具備這樣的連線安全性,例如,對於帳號申請、登入的過程,都應該提供加密連線保護,因為,這已經是最基本的保護措施,但有不少網站連這沒做到。

同時,我們也要檢討自己所屬單位對外提供的各種網站服務,應更徹底地滿足這樣的安全性要求,而且對於需要登入帳號才能存取的系統,都應該優先實施HTTPS,例如網頁信箱、企業入口資訊網站。

作者簡介


Advertisement

更多 iThome相關內容