DDoS 攻擊近年規模越來越龐大,最近 Cloudflare 就公佈指,他們成功阻止了一個 HTTPS DDoS 攻擊,
HTTPS
蘋果在 iOS 9 新增了 App Transport Security (ATS)並預設啟用,指定程式必須使用 HTTPS,但開發者可以把該功能關閉以允許 HTTP 連線。不過在 2017 年起,ATS 將會強制啟用,程式連線要使用 HTTPS 方能運作。
研究人員日前發表一個名為 DROWN 的攻擊模式,黑客可以透過 SSLv2 來破解 TLS 連線加密,從而進行中間人攻擊。採用 OpenSSL 伺服器的話就更易受影響。他們指全球有三分一的 HTTPS 網站都受影響,包括雅虎等知名網站,因此各位應確保 SSLv2 沒有啟用,如果是用 OpenSSL 的話就要盡快更新。
使用網絡服務應有良好的資訊保安意識,尤其要當輸入敏感資料時,應確保網站有使用 HTTPS 加密連線,保障通訊安全。HTTPS 認證組織 Let’s Encrypt,由 Google、Microsoft 等科企共組,發行免費數碼證書,本意是推動全球網站採用 HTTPS 加密連線,但近日 Trend Micro 就揭發其機制遭黑客濫用,被用作發布惡意程式,盜取網上銀行賬號。
瀏覽網站時如果要輸入敏感資料,應盡量使用有 HTTPS 加密連線的網站。但由於 HTTPS 認證程序繁瑣,又耗費不少金錢和時間,並不是所有網站均採用。去年由 Electronic Frontier Foundation 與 Google,Microsoft,Apple 和 Mozilla 共同組成的 HTTPS 認證組織 Let's Encrypt 終於宣布已發出首張數碼證書,並展開免費測試計劃,期望在未來推動全球網站採用 HTTPS 加密連線。
香港生產力促進局(生產力局)屬下的「香港電腦保安事故協調中心(HKCERT)」及專業資訊保安協會(PISA)於今年 4 月至 7 月進行「香港流動應用程式交易安全」研究,測試 130 個本地用戶常用的香港網上交易服務流動應用程式,涵蓋七個類別。研究發現,逾三分一應用程式在處理個人及交易資料時,通訊加密保安不足,容易被黑客盜取用戶敏感的個人及交易資料。
HTTPS 推出已有一段時間,但現時依然有不少網絡服務未全面轉而使用此進一步強化加密的網絡傳輸標準,日前美國政府、維基百科等大型公共網絡服務就宣布最遲於下年底前完成將旗下網域服務轉用 HTTPS 作為傳輸協定標準,料將推動更多大型服務、機構全面轉換至 HTTPS 的懷抱。
