30亿条个人信息被盗,全站HTTPS迫在眉睫

_U2_ · · 10950 次点击 · · 开始浏览    
这是一个创建于 的文章,其中的信息可能已经有所发展或是发生改变。

本文首发于微信公众号:网络安全生命周期

原文链接:30亿条个人信息被盗,全站HTTPS迫在眉睫

【特大流量劫持事件】


据新华网报道,日前,浙江绍兴市越城区公安分局侦破一起特大流量劫持案,涉案主角瑞智华胜,涉嫌非法窃取用户个人信息30亿条,涉及百度、腾讯、阿里、京东、新浪和今日头条等全国96家互联网公司产品,几乎涵盖了国内主要互联网企业。

原来这家公司是通过流量劫持(HTTP劫持)的方式,非法收集个人信息并盗用用户认证凭据(Cookie)进行精准营销(加粉、点赞、发帖、添加广告等)。

【根因分析】


目前广泛使用的HTTP协议,由于是明文传输,往往会被劫持,其中用于身份认证的凭据(Cookie)很容易被窃取,此外劫持者还会在返回的网页内容中添加js脚本,用于展示广告等原始网页中并不存在的内容。

要避免被劫持,需要网站提供者,主动启用HTTPS,保护用户隐私,防止被劫持。但HTTPS会增加额外的成本开销,配置管理比较麻烦,网站经营者为了节省成本,往往不愿意主动使用HTTPS,从而损失了用户利益。

【解决方案】


针对证书的成本问题,中小企业、个人站长可以申请使用Let's Encrypt的免费证书,该证书早已被各浏览器支持。

针对证书的配置管理问题,可考虑使用统一的网关和证书管理器,比如交由Janusec Application Gateway统一管理,Janusec还会对私钥进行加密,加密后保存在数据库中而不是文件系统,大大降低了私钥泄露的风险(可查看文章《加密,防止网站证书私钥泄露》,其中介绍了Janusec是如何保护证书私钥的,私钥加密存入数据库,不在文件系统明文存放)。

Janusec Application Gateway,是一款基于Golang开发的应用安全网关,具备WAF、CC攻击防御、证书私钥加密、负载均衡、统一Web化管理等功能,欢迎体验试用,目前已开源,地址:   https://github.com/Janusec/janusec  


有疑问加站长微信联系(非本文作者)

本文来自:简书

感谢作者:_U2_

查看原文:30亿条个人信息被盗,全站HTTPS迫在眉睫

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

10950 次点击  
加入收藏 微博
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传