编辑:小星
多一份网络防护技能
多一份信息安全保障
上周拼多多的充值漏洞一石激起千层浪,各种“4毛钱充值一百元话费,快!快!快!”的消息瞬间将各个微信群刷爆。
据闻从1月20日凌晨开始,拼多多出现任意用户皆可随意领取100元无门槛券巨大漏洞。大批用户利用这个漏洞来充值话费、Q币等。当日中午拼多多官方发表“关于“黑灰产通过平台优惠券漏洞不正当牟利”的声明”,明确黑灰产团伙正在通过本次漏洞进行不正当牟利。
有些用户利用这个漏洞给自己一次性充值了几十年的话费,还有一些网友晒出自己账户内有超过50万Q币余额的截图。当然,这样做的用户毕竟只是少数,但间接的也说明了这次漏洞带给拼多多的损失一定很大。
拼多多事件无疑在告诉大家不论是风险控制、预警机制、技术和运营的防漏洞能力,都需要时时警惕,安全问题不能只是事发之后才去想着补救。
许多的网络安全事件,企业最需要做的是部署https证书,让数据在传输的时候就能得到保护。你要说https对数据隐私的保护作用不大,那可就错了。https是由“http协议+SSL证书”两部分构建而成的,它是一种可以进行加密传输、身份认证的一种网络通信协议。
https对网站保护起到两个作用,一个是将传输中的数据进行记录、封装、加密;另一个是在数据传输开始之前,通讯双方就开始进行身份真实性认证并协商加密算法、交换加密密钥等验证操作。
如果单纯的是用让信息“裸奔”的http是不存在安全性的,如果想让信息传输安全得到保障,部署https证书才是上上策。
HTTPS和HTTP的区别:
1、https协议需要申请CA证书,但是CA证书大部分都是需要交费的。
2、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
3、http和https使用的连接方式、端口都是完全不同的,前者是80,后者是443。
4、http是无状态的,连接很简单;HTTPS是由SSL+HTTP协议构成的可进行加密传输、身份认证的网络协议,更安全。
解决的问题
-
信任主机的问题
采用https的服务器要有对应的CA证书,对应的服务器只有使用到对应的CA证书时客户端才会信任此主机。
-
通讯过程中的数据的泄密和被篡改
1、正常情况下的https,一个服务器只对应一个证书。
2、少部分用户对客户端有有要求的情况下,会要求给客户端一个对应的证书。
欢迎关注小星(ID:DBXSJ01)
网友评论