主頁 網絡攻擊/罪案 網絡素養 (Digital Literacy) 防禦

【認證制度真唔真】Google Chrome綠鎖真的保證「安全」?

Eric Fan
作者 Eric Fan

Google大力推行HTTPS,不單止會係Chrome網址列側寫明HTTPS網站為「安全 Secure」,更會提高它們在搜尋結果中的排名—— 不過HTTPS又能否保證網站完全安全?其實又未必!

什麼是「綠鎖」?

「綠鎖」是瀏覽器Google Chrome及FireFox的HTTPS政策。由今年1月起,如果你的網站已採用HTTPS加密通訊,Google Chrome的使用者將會看到你的網址列側標誌著綠色的「安全 Secure」;相反,如果你的網站安全性較低,你的網址會被標示為灰色「!」,更甚者,如果你的網站需要使用者輸入密碼或信用卡資訊,卻沒有採用HTTPS加密通訊,Google Chrome則會為你打上「Not Secure不安全」的標記。FireFox的標準和處理手法亦類似。

沒有HTTPS?你會被標上「不安全」的記號。(圖:Google Developers)

採用HTTPS,你就是「安全」的。(圖:Google Developer)

FireFox一樣用綠鎖(圖:blog.mozilla)

Firefox「不安全」的圖示有點不同(圖:blog.mozilla)

HTTPS有什麼要求?

網站需要申請安全性憑證 SSL (Secure Sockets Layer),才可以擁有HTTPS此憑證是由憑證授權單位 (CA) 所核發,它是評估網頁伺服器和瀏覽器之間傳輸資料過程的安全技術標準,確保網站和用戶(end user)的溝通過程中有採取加密措施,防範「中間人攻擊」和第三方監控。

理論上,HTTPS的確可以協助用戶選用更安全的網站。不過我們需留意,所謂「安全」只是指數據傳輸過程夠安全,而不是指該網站的設計和用途是安全的!SSL並不能證實網站有否遭受「網頁竄改」(Web Defacement)」、SQL Injection或惡意廣告等攻擊,或證實網站有使用足夠的保安措施保護資料庫。早前有研究人員更發現,不少釣魚網站以內含 “PayPal”的域名成功申請SSL,挾HTTPS之名魚目混珠:

左面才是真正的PapPal網站!(圖:textslashplain)

如上圖所示,只有寫清楚 “PayPal, Inc. [US]” 的網站才是得到認証的真正PayPal網站,右面寫上 “Secure”的網站雖有HTTPS,但卻是釣魚網站,目的是騙取你的帳戶資料!因此即使網站有HTTPS,用戶一樣要提高警覺!

Leave a Comment