从“大众点评的道歉”谈用户隐私泄露
近些天来闹得风风火火的大众点评泄露用户行踪事件再一次把“保护用户隐私”推向了风尖浪口。对于大众点评的致歉信,评论褒贬不一,赛基特信息科技在此并不做过多点评。因为这一事件是由于企业主观上提供了一个隐私追踪的功能,是技术层面的“辅助”泄露行为。作为以安全为前提提供IT即服务解决方案的互联网企业,Syzygiter今天就来聊聊如何在访问网站的过程中,防范用户隐私被第三方获取,即今天的主角–SSL加密技术。
SSL(Secure Sockets Layer),即安全链路层,隶属于TLS (Transport Layer Security)体系中的一部分。它是一项标准技术,用以确保互联网通信安全,保护两个通讯主体之间发送的任何敏感数据,防止第三方黑客以“中间人”的身份读取和修改任何传输信息。两个系统可能是指服务器(例如: 网站主机)和客户端(例如:访客主机),或两个服务器之间(如个人注册信息的传递)。
然而,在过去的互联网访问行为中,普通民众信息的加密传输一直被忽略。以赛基特信息科技为例,10年前我们的首页地址显示为http://www.syzygit.com;然而,在引入了SSL加密传输后网站地址头部会以https开头,即https://www.syzygit.com,这里的“s”有着Secure的意思在里面,https协议也被称为HTTP over SSL。
在此,Syzygiter特意访问了大众点评的官网地址。我们“惊喜”地发现,该站点并未采用更安全的SSL加密传输方式。
作为对比,我们同一时间测试了某宝的官网主页,显示结果如下。
结果已经不言而喻,所谓“真正的安全是一种意识,而非技术”,阿里的成功是背后企业文化的直接影响,而不仅仅是技术上的差别。
为了对目前的SSL使用情况有一个更全面的了解, Syzygiter对于2017年度世界500强中前十位的官网做了简单测评:
| 排名 | 公司 | 国家 | 主页地址 | SSL证书 |
|---|---|---|---|---|
| 1 | 沃尔玛 | 美国 | https://www.walmart.com | 有/GlobalSign |
| 2 | 国家电网公司 | 中国 | http://www.sgcc.com.cn | 无 |
| 3 | 中国石油化工集团公司 | 中国 | http://www.sinopecgroup.com | 无 |
| 4 | 中国石油天然气集团公司 | 中国 | https://www.cnpc.com.cn | 有/WoSign |
| 5 | 丰田汽车公司 | 日本 | https://toyota.jp | 有/Symantec |
| 6 | 大众公司 | 德国 | https://www.volkswagenag.com | 有/Thawte |
| 7 | 荷兰皇家壳牌石油公司 | 荷兰 | https://www.shell.com | 有/GeoTrust |
| 8 | 伯克希尔-哈撒韦公司 | 美国 | http://www.berkshirehathaway.com | 无 |
| 9 | 苹果公司 | 美国 | https://www.apple.com | 有/DigiCert |
| 10 | 埃克森美孚 | 美国 | https://www.exxonmobilchemical.com | 有/GeoTrust |
上表的十家企业中,有七家已经全面接入https加密技术,而剩余的三家相信在不久的将来也会重视用户隐私问题。
Syzygiter真诚地建议所有客户在选择赛基特信息科技产品时,加入隐私保护解决方案,我们愿竭尽全力为客户地隐私安全保驾护航。
