问:Chrome 79版,开始封锁未有加密的图片、影片等内容,为甚么要这样做?其实没有加密的网页内容不一定危害到使用者的安全.
李建军:针对类似中国的情况,谷歌决定由Chrome 79版开始,逐渐对加密网站传来的未经加密内容作出封锁,是有其道理的。一方面,此举可以避免有心人中途窜改内容,用来做一些假新闻,例如中途更换了图片,令你看的图片,与原来的报道相反。另一方面,防止有心人利用非加密渠道插入代码,将你的电脑挪用作DDoS用途。在今年香港「反送中」运动中,其中一次DDoS事件,便是嘿喀用这种手法,骑劫了大批与政治无关的电脑作DDoS用。在这种情况下,受害人自己做了帮凶都懵然不知。
问:请问在加密网页中,加入未经加密的内容,可以怎样做到DDoS?
李建军:以今年连登受攻击一事为例,有连登网友发现,其中一个网民经常去收看盗版韩剧网站,而有人暗中在这个非加密网页中加入古怪的Javascript代码,令到只要你一直观看剧集,就会一路向连登发出攻击,在相关代码被发现后,相关的代码亦很快被删除。
这类型的Javascript病毒代码,有可能是网页被嘿喀入侵后暗中加入,而要暗中加入这类代码做到神不知鬼不觉,只有相关代码是非经过加密才可办到。因此,Chrome 79版的新方法可以杜绝这类型的DDoS袭击,至少能使中毒电脑数字减少,从而令受感染而参与进DDoS袭击的电脑数目大减,始终DDoS要有相当数目电脑同时加入,方能击溃目标主机。
问:有些网站似乎未有按谷歌今年四月的要求,将提供图片的主机加入加密功能,但我又要看到相关内容,那怎么办?
李建军:Chrome 79和80版本,仍然容许使用者按自己意愿,暂时解除针对非加密内容的封锁。只不过,如果你自己解封了相关限制,如果出了状况,那就后果自负。因为这类不明不白的代码,除了用作策动DDoS袭击,亦会用于偷走使用者的资料,或暗中加入一些有恶意的跟踪cookie,如果你要解除相关限制,你必须确定有关网站是可靠,保安是可信。但长远而言,相信谷歌会关闭暂时解封的功能,暂时解封只不过是过渡措施,因为并非每一个网站都可以及时因应谷歌的要求,对主机软件和设定作出升级。虽然现时网站已经可以免费取得数码证书,作主机加密之用。
问:在可见将来,所有网站都要以加密方式传送,是浏览器的基本保安要求?
李建军:相信Chrome和Firefox,应该在一至两年内,完成强制使用加密方式传送的改革,因为过往申请和安装数码证书,都是一件十分之昂贵的事。但数年前推出let’s encrypt这类由电子前线基金会负责的项目后,网站主人可以十分容易申请到数码证书加以安装,而且几乎即时完成,令网站根本没有藉口拒绝安装数码证书作加密之用,相信由防止嘿喀骑劫,到保障私隐等各方面来看,未来浏览互联网,可能资讯传递过程经过多重加密,例如VPN加上全加密的https传送,除了确保使用者的私隐,亦避免了当局利用中间人攻击,或者偷取你的资料,或令你的资料全被删去等等问题。Edge因为以Chrome为基础,所以几乎是同步改变,现时要看苹果的Safari会否作出改变,但过往经历来看都反映苹果会作出改变,在保安问题上与其他业界领袖看齐。
李建军:针对类似中国的情况,谷歌决定由Chrome 79版开始,逐渐对加密网站传来的未经加密内容作出封锁,是有其道理的。一方面,此举可以避免有心人中途窜改内容,用来做一些假新闻,例如中途更换了图片,令你看的图片,与原来的报道相反。另一方面,防止有心人利用非加密渠道插入代码,将你的电脑挪用作DDoS用途。在今年香港「反送中」运动中,其中一次DDoS事件,便是嘿喀用这种手法,骑劫了大批与政治无关的电脑作DDoS用。在这种情况下,受害人自己做了帮凶都懵然不知。
问:请问在加密网页中,加入未经加密的内容,可以怎样做到DDoS?
李建军:以今年连登受攻击一事为例,有连登网友发现,其中一个网民经常去收看盗版韩剧网站,而有人暗中在这个非加密网页中加入古怪的Javascript代码,令到只要你一直观看剧集,就会一路向连登发出攻击,在相关代码被发现后,相关的代码亦很快被删除。
这类型的Javascript病毒代码,有可能是网页被嘿喀入侵后暗中加入,而要暗中加入这类代码做到神不知鬼不觉,只有相关代码是非经过加密才可办到。因此,Chrome 79版的新方法可以杜绝这类型的DDoS袭击,至少能使中毒电脑数字减少,从而令受感染而参与进DDoS袭击的电脑数目大减,始终DDoS要有相当数目电脑同时加入,方能击溃目标主机。
问:有些网站似乎未有按谷歌今年四月的要求,将提供图片的主机加入加密功能,但我又要看到相关内容,那怎么办?
李建军:Chrome 79和80版本,仍然容许使用者按自己意愿,暂时解除针对非加密内容的封锁。只不过,如果你自己解封了相关限制,如果出了状况,那就后果自负。因为这类不明不白的代码,除了用作策动DDoS袭击,亦会用于偷走使用者的资料,或暗中加入一些有恶意的跟踪cookie,如果你要解除相关限制,你必须确定有关网站是可靠,保安是可信。但长远而言,相信谷歌会关闭暂时解封的功能,暂时解封只不过是过渡措施,因为并非每一个网站都可以及时因应谷歌的要求,对主机软件和设定作出升级。虽然现时网站已经可以免费取得数码证书,作主机加密之用。
问:在可见将来,所有网站都要以加密方式传送,是浏览器的基本保安要求?
李建军:相信Chrome和Firefox,应该在一至两年内,完成强制使用加密方式传送的改革,因为过往申请和安装数码证书,都是一件十分之昂贵的事。但数年前推出let’s encrypt这类由电子前线基金会负责的项目后,网站主人可以十分容易申请到数码证书加以安装,而且几乎即时完成,令网站根本没有藉口拒绝安装数码证书作加密之用,相信由防止嘿喀骑劫,到保障私隐等各方面来看,未来浏览互联网,可能资讯传递过程经过多重加密,例如VPN加上全加密的https传送,除了确保使用者的私隐,亦避免了当局利用中间人攻击,或者偷取你的资料,或令你的资料全被删去等等问题。Edge因为以Chrome为基础,所以几乎是同步改变,现时要看苹果的Safari会否作出改变,但过往经历来看都反映苹果会作出改变,在保安问题上与其他业界领袖看齐。