嗯,那坦白讲,这 17 年来互联网毕竟仍是存活下来了不是?——但比起设计奇妙,这更像是幸运。理论上任何一个互联网效劳提供商(ISP)都也许因之遭受大破坏。上一年有人利用了 BGP 的缺点从比特币矿工手中窃取了 10 万美元。两年前,闻名的特务软件作者,一个黑客团队运用 BGP 绑架了它本身不具有的 IP 数字。频频的陈述呈现,阐明很多互联网流量以一种可疑的途径经过远方效劳器。在 2008 年,巴基斯坦无意中由于过错装备 BGP 致使 YouTube 在该国下线两小时。这样的比如几乎不胜枚举。
不仅仅 BGP。域名体系(DNS)用来把域名指向 IP 地址。这个体系自从诞生之日起就存在根底性的缺点,因而遭受了多轮突击。从 90 年代开端大家就致力于保护它的安全。安全的 DNS,奇妙的被命名为 DNSSEC,这是一个真实存在的东西,而……仅被全球范围内少于 13%的 DNS 验证体系运用。它的对应物,BGPSEC,如今……仍在等候终究的标准化进程,没有投入运行。
再说一次,DNS 和 BGP 是从上世纪开端,其高度软弱性就广为人知。
等等,工作更糟糕了!甚至就连对体系漏洞的修补也是充满缺点。不管是 DNSSEC 仍是 BGPSEC 都依靠由 SSL 和 TLS 证书和证书签署者信赖的同一种等级信赖体系。最少,对浏览器而言,这个体系是“毫无期望地千疮百孔”。你的浏览器信赖各式各样的“根证书”,而其间任何一 种都也许被绑架或许损坏。
固定证书和安全性转发有所帮助,但根源上的疑问依旧未改动:等级信赖体系是,天经地义是,分等级给予信赖的。假如一个证书授权被损坏——这并不是一个理论上需求考虑的状况——接下来信赖这个授权方的每一个人都某种程度上堕入风险。
觉得糟透了对吗?等等!我才刚开端说。这些都是无穷的深不见底的圈套,随时将互联网本身的安全性置于不利地步,让大家的操作看起来就像是在纸板和 胶带粘成的独木桥上走猫步那么风险。但就算你现已做到了安全连接到想要拜访的网站,这才刚刚引申出成堆新的疑问。你在浏览器装置和运行了 Flash 对不对?你这个大,傻,冒!
甚至,你也许还装置有 Java。你真不应当这么做。但就算以上圈套你全都没有踏入,终究连接到准确的效劳器上,仍然有吓人的高几率可以让全部安全措施看起来都想幼儿园小孩搭的 枕头堡垒通常可笑。在咱们如今身处的这个年代,在 2015 年,次干流互联网站点们仍然以纯文本存储用户的暗码,而不是加盐和 hash 处理它们——这正本应当是最最根底的常识。(注:一位身为专家的兄弟告诉我,hash 和加盐都是老黄历了;应当运用 bcrypt 更好些。)并且,天然了,这些暗码中一大堆都会是“wodemima”或许“12345678”。请最少运用复杂点的暗码——可以的话,请用一个暗码办理 器。
在线安全是一个经典的潘多拉魔盒——但请不要忘记神话中潘多拉发现的魔盒最底部的终究相同东西。那就是,期望。
你可以关掉 Flash。你可以关掉 Java。你可以运用暗码办理器。咱们可以终究,令人信服地,把分等级的证书提供商替换为去基地化的,成块连接的安全效劳。咱们知道怎么推进网络的全体安 全。咱们仅仅不会像曩昔 20 年那样一直受其干扰,由于安全进程很困难,并且需求把别的所有配套的工作全都做好。尽管如此,我更想保存期望,咱们终究每个人都会开端意识到,一次的安全 出资,带来的是十倍不止的报答,还有——真实意义上的安全。
我太达观了?那好:就让咱们在一系列安全大灾难到来之前,等待每个人可以引发安全意识吧。在 1998 年干掉全部互联网还不算什么大事。可是如今是网络操纵全部的年代,安全的价值是每年都在变大的。(文章来自南京欣才PHP培训机构)
