問:現時全世界大部分網站都是無對內容作出加密,而網站未有加密,瀏覽器一般亦不會作出警告。但谷歌打算由明年一月推出的Chrome瀏覽器開始,會對任何有可能處理密碼、信用卡號碼之類敏感資料,而未有作加密的網站作出警告,請問會是怎樣?
李建軍:由明年一月開始新推出的Chrome瀏覽器,當你訪問的網站,會問你密碼或信用卡資料,但未有作加密,或加密機制出現問題時,就會彈出警告視窗,提醒你未經加密網站處理密碼之類敏感資料,並不安全,要求你考慮訪問已經加密版本,或盡量考慮不在未經加密的網站傳送敏感資料。這亦是谷歌為加強全世界網站私隱意識,大力推廣所有網站都應為保護私隱,作出連線加密概念行動的一部分。
在新版Chrome瀏覽器,雖然作出了警告,但仍然會讓你在未經加密連線傳送相關資料,只不過,一年或兩年後推出的Chrome瀏覽器,就有可能對網站加密政策進一步收緊,包括不再處理未經加密網站的連線,或只針對某些類型的網站容許資料不作加密。
問:其實谷歌為何會認為所有連線必須加密?谷歌除了在Chrome瀏覽器會逐漸採取加密政策,又有什麼行動,去推廣任何網絡瀏覽通訊都要加密這個理念?
李建軍:谷歌認為,只要網絡通訊未經加密,就容易被政府或不法分子偷竊內容,這無論對用家的私隱或財產安全,甚至人身安全都構成威脅,因此谷歌提倡一如現代GSM電話的通訊一樣,任何通訊內容,不論純粹談娛樂消息,還是傳送信用卡密碼一類敏感數據都一律加密,以策安全。
而現時,谷歌的搜尋網頁以及YouTube都預設進入加密版本,為鼓勵網站營運者對網站作出加密,谷歌在對搜尋結果作出排名時,會優先考慮已經作出加密安排的網站,而未經加密的網站就排較後位置。而加密與否對名次的重要性,谷歌將會按年遞增,因此,不少需要吸引人流來賺取廣告費的網站,已經紛紛加入加密功能,就算相關網站並不打算經營電子商貿,亦不會需要使用者輸入任何信用卡資料,但為了爭取在谷歌搜尋結果更高的排名,以吸引更多用戶瀏覽,都不得不遵照谷歌的政策行事,購買電子證書替網站的所有傳輸內容進行加密。
問:既然加密係如斯重要,那有沒有網站可以評估我連結的網站加密水平是否足夠?
李建軍:SSLLab有一個網站,只要你打入網址,就會評估網站所用的加密技術、兼容的瀏覽器,以及加密水平,並作出詳細評級和報告,最好的網站,包括使用最新運算法和數碼證書的,就會有A+級或A級,代表加密水平相當足夠,難以攻破。這些我準備了視頻,示範如何使用這個網站,評估中國國有銀行的加密水平,歡迎各位聽眾瀏覽本台網站收看。
但要注意的是,有些網站只能取得A-或B+一類級別,例如銀行的網站,並非相關機構不重視加密水平,而是為了兼容舊版IE,或舊版Android手機的瀏覽器,這些瀏覽器不支援新一代的運算法,所以在加密水平上有所缺失。銀行需要兼容這些瀏覽器用家,會被迫對加密水平稍作犧牲。但無論如何,使用太舊版的Android瀏覽器或IE,都會對自己的資訊安全造成危險,為資料安全著想,應陸續停用IE以及最舊一代的Android手機,以策安全。
0:00 / 0:00