前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >30亿条个人信息被盗,全站HTTPS迫在眉睫

30亿条个人信息被盗,全站HTTPS迫在眉睫

作者头像
用户U2
发布2022-06-02 15:42:01
3510
发布2022-06-02 15:42:01
举报
文章被收录于专栏:数据安全架构与治理

【特大流量劫持事件】


据新华网报道,日前,浙江绍兴市越城区公安分局侦破一起特大流量劫持案,涉案主角瑞智华胜,涉嫌非法窃取用户个人信息30亿条,涉及百度、腾讯、阿里、京东、新浪和今日头条等全国96家互联网公司产品,几乎涵盖了国内主要互联网企业。

原来这家公司是通过流量劫持(HTTP劫持)的方式,非法收集个人信息并盗用用户认证凭据(Cookie)进行精准营销(加粉、点赞、发帖、添加广告等)。

【根因分析】


目前广泛使用的HTTP协议,由于是明文传输,往往会被劫持,其中用于身份认证的凭据(Cookie)很容易被窃取,此外劫持者还会在返回的网页内容中添加js脚本,用于展示广告等原始网页中并不存在的内容。

要避免被劫持,需要网站提供者,主动启用HTTPS,保护用户隐私,防止被劫持。但HTTPS会增加额外的成本开销,配置管理比较麻烦,网站经营者为了节省成本,往往不愿意主动使用HTTPS,从而损失了用户利益。

【解决方案】


针对证书的成本问题,中小企业、个人站长可以申请使用Let's Encrypt的免费证书,该证书早已被各浏览器支持。

针对证书的配置管理问题,可考虑使用统一的网关和证书管理器,比如交由Janusec Application Gateway统一管理,Janusec还会对私钥进行加密,加密后保存在数据库中而不是文件系统,大大降低了私钥泄露的风险(可查看文章《加密,防止网站证书私钥泄露》,其中介绍了Janusec是如何保护证书私钥的,私钥加密存入数据库,不在文件系统明文存放)。

Janusec Application Gateway,是一款基于Golang开发的应用安全网关,具备WAF、CC攻击防御、证书私钥加密、负载均衡、统一Web化管理等功能,欢迎体验试用,目前已开源,地址: https://github.com/Janusec/janusec

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-08-23,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 数据安全架构与治理 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
数据库
云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档