【特大流量劫持事件】
据新华网报道,日前,浙江绍兴市越城区公安分局侦破一起特大流量劫持案,涉案主角瑞智华胜,涉嫌非法窃取用户个人信息30亿条,涉及百度、腾讯、阿里、京东、新浪和今日头条等全国96家互联网公司产品,几乎涵盖了国内主要互联网企业。
原来这家公司是通过流量劫持(HTTP劫持)的方式,非法收集个人信息并盗用用户认证凭据(Cookie)进行精准营销(加粉、点赞、发帖、添加广告等)。
【根因分析】
目前广泛使用的HTTP协议,由于是明文传输,往往会被劫持,其中用于身份认证的凭据(Cookie)很容易被窃取,此外劫持者还会在返回的网页内容中添加js脚本,用于展示广告等原始网页中并不存在的内容。
要避免被劫持,需要网站提供者,主动启用HTTPS,保护用户隐私,防止被劫持。但HTTPS会增加额外的成本开销,配置管理比较麻烦,网站经营者为了节省成本,往往不愿意主动使用HTTPS,从而损失了用户利益。
【解决方案】
针对证书的成本问题,中小企业、个人站长可以申请使用Let's Encrypt的免费证书,该证书早已被各浏览器支持。
针对证书的配置管理问题,可考虑使用统一的网关和证书管理器,比如交由Janusec Application Gateway统一管理,Janusec还会对私钥进行加密,加密后保存在数据库中而不是文件系统,大大降低了私钥泄露的风险(可查看文章《加密,防止网站证书私钥泄露》,其中介绍了Janusec是如何保护证书私钥的,私钥加密存入数据库,不在文件系统明文存放)。
Janusec Application Gateway,是一款基于Golang开发的应用安全网关,具备WAF、CC攻击防御、证书私钥加密、负载均衡、统一Web化管理等功能,欢迎体验试用,目前已开源,地址: https://github.com/Janusec/janusec