網(wǎng)頁安全：網(wǎng)站應盡快導入SSL/TLS

最近在網(wǎng)站上非常熱門的FireFox擴充軟件Firesheep，很可能被用來當成黑客工具。該程序的作者表示，之所以設計這個軟件，并非用來盜取個人資料，而是想借由這個軟件，呼吁各大網(wǎng)站重視用戶瀏覽網(wǎng)頁的安全。

網(wǎng)絡使用者在媒體的長期教育下，已經(jīng)知道如何保護自己不被Firesheep這樣的軟件攻擊，或是知道如何安全使用無線網(wǎng)絡。但對于網(wǎng)站管理員來說，目前仍看不到有什么具體的行動讓網(wǎng)站本身更安全。

在Google網(wǎng)絡論壇上的Firesheep討論區(qū)中，有大概143則討論，大部分都是關于技術支持的問題，卻從來沒有一個網(wǎng)站管理者詢問如何在網(wǎng)站導入TLS或SSL，以讓網(wǎng)站更安全。

根據(jù)AccessNow針對前100大網(wǎng)站所做的分析顯示，只有一個網(wǎng)站正確使用TLS/SSL安全機制，那就是PayPal。也就是說使用者從登入PayPal到完成結帳手續(xù)離開的整個過程中，使用者的個人資料都有被加密，有效保障資料的安全。

至于其他網(wǎng)站則有可能讓你的個人資料暴露在Firesheep的安全威脅下，除非使用者安裝其他FireFox的擴充套件像是HTTPS Everywhere或Force TLS。否則將無法保證使用者在瀏覽每個網(wǎng)頁時，資料都有被加密不被盜取。

AccessNow的報告中指出，只有Adobe、Hotfile、Mozilla與GoDaddy這些網(wǎng)站可以讓你手動保護所有的網(wǎng)站使用安全。而其他熱門網(wǎng)站象是Google、Facebook以及YouTube，即使是使用者自行使用安全保護措施，仍無法保證所有的網(wǎng)頁瀏覽都是在安全的情況下。

大部分的熱門網(wǎng)站，像是搜索引擎百度、維基百科以及不同國家及地區(qū)版本的Google，如Google印度及Google香港，都不提供加密鏈接的保護。以Google為例，如果你在某國家的Google強制使用安全鏈接，Google將會直接把你導向不加密的Google美國站點。

如果連熱門網(wǎng)站都無法確保網(wǎng)站的安全，那廣大的使用者又能做些什么來保護自己呢?AccessNow建議簽署請愿書給這些全球前百大熱門網(wǎng)站的CEO，強調(diào)使用者對于網(wǎng)絡使用安全的渴求，并要求這些網(wǎng)站立即在所有網(wǎng)頁中安裝HTTPS。

也許聯(lián)署請愿的方式并無法獲得立即的成效，但仍值得一試。筆者也曾見過在用戶因為瀏覽某些網(wǎng)頁而被其他Firesheep使用者竊取重要的個人資料后，該網(wǎng)站開始導入自動安全連接。也許等到有一天，這樣的安全問題擴大，甚至導致網(wǎng)站被告的時候，他們就會乖乖的建置網(wǎng)站安全措施。