Friday, November 18, 2016

翻墙问答:新版Chrome浏览器将加装加密提示

视频:http://ift.tt/2fEBNPp

问:现时全世界大部分网站都是无对内容作出加密,而网站未有加密,浏览器一般亦不会作出警告。但谷歌打算由明年一月推出的Chrome浏览器开始,会对任何有可能处理密码、信用卡号码之类敏感资料,而未有作加密的网站作出警告,请问会是怎样?

李建军:由明年一月开始新推出的Chrome浏览器,当你访问的网站,会问你密码或信用卡资料,但未有作加密,或加密机制出现问题时,就会弹出警告视窗,提醒你未经加密网站处理密码之类敏感资料,并不安全,要求你考虑访问已经加密版本,或尽量考虑不在未经加密的网站传送敏感资料。这亦是谷歌为加强全世界网站私隐意识,大力推广所有网站都应为保护私隐,作出连线加密概念行动的一部分。

在新版Chrome浏览器,虽然作出了警告,但仍然会让你在未经加密连线传送相关资料,只不过,一年或两年后推出的Chrome浏览器,就有可能对网站加密政策进一步收紧,包括不再处理未经加密网站的连线,或只针对某些类型的网站容许资料不作加密。

问:其实谷歌为何会认为所有连线必须加密?谷歌除了在Chrome浏览器会逐渐采取加密政策,又有什么行动,去推广任何网络浏览通讯都要加密这个理念?

李建军:谷歌认为,只要网络通讯未经加密,就容易被政府或不法分子偷窃内容,这无论对用家的私隐或财产安全,甚至人身安全都构成威胁,因此谷歌提倡一如现代GSM电话的通讯一样,任何通讯内容,不论纯粹谈娱乐消息,还是传送信用卡密码一类敏感数据都一律加密,以策安全。

而现时,谷歌的搜寻网页以及YouTube都预设进入加密版本,为鼓励网站营运者对网站作出加密,谷歌在对搜寻结果作出排名时,会优先考虑已经作出加密安排的网站,而未经加密的网站就排较后位置。而加密与否对名次的重要性,谷歌将会按年递增,因此,不少需要吸引人流来赚取广告费的网站,已经纷纷加入加密功能,就算相关网站并不打算经营电子商贸,亦不会需要使用者输入任何信用卡资料,但为了争取在谷歌搜寻结果更高的排名,以吸引更多用户浏览,都不得不遵照谷歌的政策行事,购买电子证书替网站的所有传输内容进行加密。

问:既然加密系如斯重要,那有没有网站可以评估我连结的网站加密水平是否足够?

李建军:SSLLab有一个网站,只要你打入网址,就会评估网站所用的加密技术、兼容的浏览器,以及加密水平,并作出详细评级和报告,最好的网站,包括使用最新运算法和数码证书的,就会有A+级或A级,代表加密水平相当足够,难以攻破。这些我准备了视频,示范如何使用这个网站,评估中国国有银行的加密水平,欢迎各位听众浏览本台网站收看。

但要注意的是,有些网站只能取得A-或B+一类级别,例如银行的网站,并非相关机构不重视加密水平,而是为了兼容旧版IE,或旧版Android手机的浏览器,这些浏览器不支援新一代的运算法,所以在加密水平上有所缺失。银行需要兼容这些浏览器用家,会被迫对加密水平稍作牺牲。但无论如何,使用太旧版的Android浏览器或IE,都会对自己的资讯安全造成危险,为资料安全著想,应陆续停用IE以及最旧一代的Android手机,以策安全。

原文:http://ift.tt/2g75lUe




via 细节的力量 http://ift.tt/2g73Lld

No comments:

Post a Comment