网站装了SSL数位凭证就安全了吗?

发布时间:2020-07-30

网站装了SSL数位凭证就安全了吗?

今年 Chrome 宣布网站都要遵守凭证透明化政策才会被浏览器列为安全显示后,网站要如何选择 SSL 数位凭证的议题,已经广为大家讨论,但今天我们要说的是,除了跟 SSL 相关的传输安全性以外,还有更多网站安全议题事关重大。

最常为人道的问题,诸如:

以上问题除了一般使用者觉得担心以外,网站拥有者听起来每一项都更加的可怕,因为这些事件本身已经造成损失以外、事件的背后更带着一堆知其然不知其所以然的技术专有名词,很多名词大家都听过,遇到时却不知道原来会发生在自己网站上,也紧张得不知道该如何解决好,这些问题没有事先预防,在遇到当下才开始一项一项地检查,不仅会增长安全空窗期,还会增加单次检查、扫描、修补的成本、更容易因为网站不安全而流失许多客户与订单,还要重新塑造品牌形象与商誉来挽回客户信心,这些都是额外的成本。

到底是甚幺样的问题造成这些事件发生? 又该如何预防呢? 以下简单叙述大家常听到的名词及对应会发生的问题:

1. SQL Injections 资料隐码攻击:资料库的程式语法不够严谨,直接从程式被攻破,资料库的管理员帐号密码被窜改、资料被窃取利用或对站主勒索。

2. Xss跨站指令码攻击:也算隐码攻击的一种,手法大致相同,但主要是针对程式语法逻辑较弱的网页输入恶意的指令,在一般使用者上网时的某个行为,触动该恶意指令,让网页看起来不一样了、或被触动而执行各种恶意的网路行为。

3. Phishing 网路钓鱼:透过在网页埋入恶意连结,在使用者不知情点选或执行动作之下,跳页到假的网站输入资料,以窃取个资,后续利用如帐号、密码、Email 等个资来行骗;例如做一个假的 Yahoo、Google 一模一样的网页,让你以为是真的,骗你在该网页输入帐号密码。

4.Malicious 恶意软体:经常看到攻击者将其埋藏于某些广告或是图片当中,让使用者点击后,默默的下载或执行含有病毒的软体,让使用者的电脑或网站主机除了后门大开,更可能成为攻击其他人的跳板,最后造成网站被检举。

其实还有更多的攻击手法,例如社交工程攻击、木马、后门程式等…这些手法都在日新月异的改变模式,让工程师防不胜防,今天有一个新的恶意程式,明天可能又改变了,绝对不是遇到一次扫一次就能一劳永逸的,如果网站没有进行长期持续性的扫描监管、即时的更新攻击模式来抵御攻击,人工根本不可能即时辨识出网站是否已经遇到危险了,而这些问题若能在网站首次建立好的时候,就先一次性安装自动化更新的网站挂马入侵侦测工具,其实就能定期收到报表,网站在遇到危险时也能及时收到提醒并採取修补行动防範于未然,毕竟这些网路安全问题都能轻易就破坏网站辛苦的营运成果与无价的品牌形象,网站营运者千万不可轻忽!

上一篇: 下一篇:

相关搜索