網(wǎng)站安全越來(lái)越重要�����,不僅僅對(duì)用戶而言越來(lái)越重要����,對(duì)于SEO來(lái)說(shuō),網(wǎng)站安全這個(gè)排名因素也越來(lái)越重要��。
在大多數(shù)情況下�����,作為SEOer我們首先注意到的是HTTPS小綠鎖上�,當(dāng)時(shí)Baidu發(fā)布了一篇文章�����,HTTPS改造全解析。其實(shí)����,在Google已經(jīng)把HTTPS納入排名機(jī)制中。所以��,在國(guó)外網(wǎng)站實(shí)現(xiàn)HTTPS��,要比國(guó)內(nèi)多很多(百度其實(shí)也把網(wǎng)站安全納入排名機(jī)制中)��。
在前段時(shí)間�����,HTTPS再次成為焦點(diǎn)�,因?yàn)镚oogle Chrome 68將積極地將網(wǎng)站突出顯示為對(duì)用戶“安全”和“不安全”。這是瀏覽器首次明確使用“安全”這個(gè)詞�。
但擁有SSL證書并不意味著有一個(gè)安全的網(wǎng)站,如果一個(gè)偽造或真實(shí)的網(wǎng)站想要使用SSL / TLS技術(shù)����,他們所需要做的就是獲得一個(gè)證書。SSL證書可以免費(fèi)獲得���,并通過(guò)Cloudflare等技術(shù)在幾分鐘內(nèi)實(shí)現(xiàn)����,就瀏覽器而言 - 該網(wǎng)站是安全的。
1�����、了解SSL證書的工作原理
當(dāng)用戶在瀏覽器打開網(wǎng)站時(shí)���,網(wǎng)站向?yàn)g覽器提供證書���。然后瀏覽器驗(yàn)證網(wǎng)站提供的證書:
對(duì)于與正在訪問(wèn)的域相同的域有效。
已由可信CA(證書頒發(fā)機(jī)構(gòu))頒發(fā)����。
有效并且沒有過(guò)期。
一旦用戶的瀏覽器驗(yàn)證了SSL認(rèn)證的有效性�����,連接將繼續(xù)安全��。如果沒有���,您將在瀏覽器中收到不安全的警告,或拒絕訪問(wèn)該網(wǎng)站。如果成功��,瀏覽器和網(wǎng)站服務(wù)器交換必要的詳細(xì)信息以形成安全連接并加載該站點(diǎn)����。
2、那么HTTPS能多大程度上保護(hù)網(wǎng)站�?
傳輸中的加密/靜態(tài)加密
HTTPS(和SSL / TLS)提供了所謂的“傳輸加密”。這意味著我們的瀏覽器和網(wǎng)站服務(wù)器之間的數(shù)據(jù)和通信(使用安全協(xié)議)是加密格式�,因此如果攔截這些數(shù)據(jù)包,則不能讀取或篡改數(shù)據(jù)�。
但是,當(dāng)瀏覽器接收到數(shù)據(jù)時(shí)�����,它會(huì)解密數(shù)據(jù)��,當(dāng)服務(wù)器接收到數(shù)據(jù)時(shí)���,它也會(huì)被解密 - 因此它可以在將來(lái)記住或者被其他集成(如CRM)使用���。SSL和TLS不會(huì)為我們提供靜態(tài)加密(當(dāng)數(shù)據(jù)存儲(chǔ)在網(wǎng)站的服務(wù)器上時(shí))。這意味著如果黑客能夠訪問(wèn)服務(wù)器���,他們可以讀取您提交的所有數(shù)據(jù)��。
大多數(shù)入侵和數(shù)據(jù)泄露是黑客獲得訪問(wèn)這些未加密數(shù)據(jù)庫(kù)的結(jié)果���,因此HTTPS技術(shù)意味著我們的數(shù)據(jù)安全地進(jìn)入數(shù)據(jù)庫(kù)�����,但不能安全地進(jìn)行存儲(chǔ)�。
SSL也可能很脆弱
像大多數(shù)技術(shù)一樣��,SSL和TLS不斷發(fā)展和升級(jí)���。SSLv1從來(lái)沒有公開發(fā)布過(guò)��,所以我們?cè)赟SL上第一次獲得的第一個(gè)真實(shí)體驗(yàn)是1995年發(fā)布的SSLv2����,它包含了一些嚴(yán)重的安全缺陷���。
由于大量當(dāng)前的SSL實(shí)現(xiàn)和配置不正確����,這意味著它們?nèi)菀自馐蹹ROWN攻擊���,因此SSLv2仍然可能導(dǎo)致今天出現(xiàn)問(wèn)題���。
SSLv3于1996年推出,從那時(shí)起我們已經(jīng)看到了TLSv1����,TLSv1.1和TLSv1.2的介紹。
這就是SSL本身可能成為直接漏洞的地方����。隨著技術(shù)的進(jìn)步,并不是所有的網(wǎng)站都與他們一起進(jìn)步�,并且盡管使用了更新的SSL證書,許多網(wǎng)站仍然支持較舊的協(xié)議�。黑客可以使用此漏洞和較早的支持來(lái)執(zhí)行協(xié)議降級(jí)攻擊 - 他們使用戶瀏覽器使用舊協(xié)議重新連接到網(wǎng)站 - 而許多現(xiàn)代瀏覽器會(huì)阻止SSLv2連接,但SSLv3仍然超過(guò)20年��。
SSL本身也容易受到其他一些潛在的攻擊��,包括BEAST����,BREACH�,F(xiàn)REAK和Heartbleed�����。
HTTPS在結(jié)帳/登錄頁(yè)面是一個(gè)虛假的安全
很長(zhǎng)時(shí)間以來(lái)�����,很多電子商務(wù)企業(yè)只在結(jié)帳頁(yè)面或用戶登錄頁(yè)面上維護(hù)HTTPS����,但在其他頁(yè)面上運(yùn)行HTTP。
當(dāng)你登錄到一個(gè)網(wǎng)站時(shí)��,服務(wù)器發(fā)回一個(gè)cookie��,這意味著你不必記錄進(jìn)出網(wǎng)站(它記住你)���。然后����,如果您繼續(xù)在HTTP上瀏覽網(wǎng)站��,則會(huì)通過(guò)不安全的連接發(fā)送和接收相同的身份驗(yàn)證Cookie,這可能會(huì)導(dǎo)致攻擊者攔截cookie�,竊取它,然后在稍后模擬你的信息內(nèi)容�。
總結(jié):
SSL / TLS在正確實(shí)施時(shí),是在用戶瀏覽器與網(wǎng)站服務(wù)器之間傳輸時(shí)保護(hù)用戶數(shù)據(jù)的關(guān)鍵技術(shù)�。為了全面覆蓋���,網(wǎng)站還應(yīng)該使用HSTS來(lái)防止協(xié)議降級(jí)攻擊和cookie劫持��。
該技術(shù)也無(wú)法保護(hù)網(wǎng)站免受數(shù)千種其他已知的破解漏洞利用攻擊���,這些攻擊可能會(huì)損害用戶數(shù)據(jù)。
說(shuō)HTTPS是安全的并不是錯(cuò)誤的�����,但它也不是完全正確的��。它是網(wǎng)絡(luò)安全拼圖中的一部分����,它面對(duì)的是比較容易識(shí)別的安全特性之一 - 尤其是從網(wǎng)絡(luò)爬蟲的角度來(lái)看。所以���,從SEO角度來(lái)說(shuō)�,我們還是非常有必要把網(wǎng)站改造成HTTPS。
不僅僅是HTTPS來(lái)保護(hù)他們的網(wǎng)站并保護(hù)他們的用戶�����,并且要符合GDPR標(biāo)準(zhǔn)��。
贛公網(wǎng)安備 36010202000331號(hào)