|
網站安全越來越重要,不僅僅對(duì)用戶而言越來越重要,對(duì)于seo來說(shuō),網站安全這(zhè)個排名因素也越來越重要。在大多數情況下,作爲SEOer我們首先注意到的是HTTPS小綠鎖上,當時(shí)Baidu發(fā)布了一篇文章,HTTPS改造全解析。其實,在Google已經(jīng)把HTTPS納入排名機制中。所以,在國(guó)外網站實現HTTPS,要比國(guó)内多很多(百度其實也把網站安全納入排名機制中)。
在前段時(shí)間,HTTPS再次成(chéng)爲焦點,因爲GoogleChrome68將(jiāng)積極地將(jiāng)網站突出顯示爲對(duì)用戶“安全”和“不安全”。這(zhè)是浏覽器首次明确使用“安全”這(zhè)個詞。
一、SSL證書
但擁有SSL證書并不意味著(zhe)有一個安全的網站,如果一個僞造或真實的網站想要使用SSL/TLS技術,他們所需要做的就(jiù)是獲得一個證書。SSL證書可以免費獲得,并通過(guò)Cloudflare等技術在幾分鍾内實現,就(jiù)浏覽器而言–該網站是安全的。
1、了解SSL證書的工作原理
當用戶在浏覽器打開(kāi)網站時(shí),網站向(xiàng)浏覽器提供證書。然後(hòu)浏覽器驗證網站提供的證書:對(duì)于與正在訪問的域相同的域有效。已由可信CA(證書頒發(fā)機構)頒發(fā),有效并且沒(méi)有過(guò)期。
一旦用戶的浏覽器驗證了SSL認證的有效性,連接將(jiāng)繼續安全。如果沒(méi)有,您將(jiāng)在浏覽器中收到不安全的警告,或拒絕訪問該網站。如果成(chéng)功,浏覽器和網站服務器交換必要的詳細信息以形成(chéng)安全連接并加載該站點。
2、那麼(me)HTTPS能(néng)多大程度上保護網站?傳輸中的加密/靜态加密
HTTPS(和SSL/TLS)提供了所謂的“傳輸加密”。這(zhè)意味著(zhe)我們的浏覽器和網站服務器之間的數據和通信(使用安全協議)是加密格式,因此如果攔截這(zhè)些數據包,則不能(néng)讀取或篡改數據。
但是,當浏覽器接收到數據時(shí),它會(huì)解密數據,當服務器接收到數據時(shí),它也會(huì)被解密–因此它可以在將(jiāng)來記住或者被其他集成(chéng)(如CRM)使用。SSL和TLS不會(huì)爲我們提供靜态加密(當數據存儲在網站的服務器上時(shí)),這(zhè)意味著(zhe)如果黑客能(néng)夠訪問服務器,他們可以讀取您提交的所有數據。
大多數入侵和數據洩露是黑客獲得訪問這(zhè)些未加密數據庫的結果,因此HTTPS技術意味著(zhe)我們的數據安全地進(jìn)入數據庫,但不能(néng)安全地進(jìn)行存儲。
二、SSL也可能(néng)很脆弱
1、像大多數技術一樣,SSL和TLS不斷發(fā)展和升級。SSLv1從來沒(méi)有公開(kāi)發(fā)布過(guò),所以我們在SSL上第一次獲得的第一個真實體驗是1995年發(fā)布的SSLv2,它包含了一些嚴重的安全缺陷。
2、由于大量當前的SSL實現和配置不正确,這(zhè)意味著(zhe)它們容易遭受DROWN攻擊,因此SSLv2仍然可能(néng)導緻今天出現問題。
3、SSLv3于1996年推出,從那時(shí)起(qǐ)我們已經(jīng)看到了TLSv1,TLSv1.1和TLSv1.2的介紹。
這(zhè)就(jiù)是SSL本身可能(néng)成(chéng)爲直接漏洞的地方。随著(zhe)技術的進(jìn)步,并不是所有的網站都(dōu)與他們一起(qǐ)進(jìn)步,并且盡管使用了更新的SSL證書,許多網站仍然支持較舊的協議。黑客可以使用此漏洞和較早的支持來執行協議降級攻擊–他們使用戶浏覽器使用舊協議重新連接到網站–而許多現代浏覽器會(huì)阻止SSLv2連接,但SSLv3仍然超過(guò)20年。
注意:SSL本身也容易受到其他一些潛在的攻擊,包括BEAST,BREACH,FREAK和Heartbleed。
三、HTTPS在結帳/登錄頁面(miàn)是一個虛假的安全
很長(cháng)時(shí)間以來,很多電子商務企業隻在結帳頁面(miàn)或用戶登錄頁面(miàn)上維護HTTPS,但在其他頁面(miàn)上運行HTTP。
當你登錄到一個網站時(shí),服務器發(fā)回一個cookie,這(zhè)意味著(zhe)你不必記錄進(jìn)出網站(它記住你)。然後(hòu),如果您繼續在HTTP上浏覽網站,則會(huì)通過(guò)不安全的連接發(fā)送和接收相同的身份驗證Cookie,這(zhè)可能(néng)會(huì)導緻攻擊者攔截cookie,竊取它,然後(hòu)在稍後(hòu)模拟你的信息内容。
總結:
1、SSL/TLS在正确實施時(shí),是在用戶浏覽器與網站服務器之間傳輸時(shí)保護用戶數據的關鍵技術。爲了全面(miàn)覆蓋,網站還(hái)應該使用HSTS來防止協議降級攻擊和cookie劫持。
2、該技術也無法保護網站免受數千種(zhǒng)其他已知的破解漏洞利用攻擊,這(zhè)些攻擊可能(néng)會(huì)損害用戶數據。
3、說(shuō)HTTPS是安全的并不是錯誤的,但它也不是完全正确的。它是網絡安全拼圖中的一部分,它面(miàn)對(duì)的是最容易識别的安全特性之一–尤其是從網絡爬蟲的角度來看。所以,從SEO角度來說(shuō),我們還(hái)是非常有必要把網站改造成(chéng)HTTPS。
|
