問:Chrome 79版,開始封鎖未有加密的圖片、影片等內容,為甚麼要這樣做?其實沒有加密的網頁內容,都不一定危害到使用者的安全?
李建軍:針對類似中國的情況,谷歌決定由Chrome 79版開始,逐漸對加密網站傳來的未經加密內容作出封鎖,是有其道理的。一方面,此舉可以避免有心人中途竄改內容,用來做一些假新聞,例如中途更換了圖片,令你看的圖片,與原來的報道相反。另一方面,防止有心人利用非加密渠道插入代碼,將你的電腦挪用作DDoS用途。在今年香港「反送中」運動中,其中一次DDoS事件,便是黑客用這種手法,騎劫了大批與政治無關的電腦作DDoS用。在這種情況下,受害人自己做了幫兇都懵然不知。
問:請問在加密網頁中,加入未經加密的內容,可以怎樣做到DDoS?
李建軍:以今年連登受攻擊一事為例,有連登網友發現,其中一個網民經常去收看盜版韓劇網站,而有人暗中在這個非加密網頁中加入古怪的Javascript代碼,令到只要你一直觀看劇集,就會一路向連登發出攻擊,在相關代碼被發現後,相關的代碼亦很快被刪除。
這類型的Javascript病毒代碼,有可能是網頁被黑客入侵後暗中加入,而要暗中加入這類代碼做到神不知鬼不覺,只有相關代碼是非經過加密才可辦到。因此,Chrome 79版的新方法可以杜絕這類型的DDoS襲擊,至少能使中毒電腦數字減少,從而令受感染而參與進DDoS襲擊的電腦數目大減,始終DDoS要有相當數目電腦同時加入,方能擊潰目標主機。
問:有些網站似乎未有按谷歌今年四月的要求,將提供圖片的主機加入加密功能,但我又要看到相關內容,那怎麼辦?
李建軍:Chrome 79和80版本,仍然容許使用者按自己意願,暫時解除針對非加密內容的封鎖。只不過,如果你自己解封了相關限制,如果出了狀況,那就後果自負。因為這類不明不白的代碼,除了用作策動DDoS襲擊,亦會用於偷走使用者的資料,或暗中加入一些有惡意的跟蹤cookie,如果你要解除相關限制,你必須確定有關網站是可靠,保安是可信。但長遠而言,相信谷歌會關閉暫時解封的功能,暫時解封只不過是過渡措施,因為並非每一個網站都可以及時因應谷歌的要求,對主機軟件和設定作出升級。雖然現時網站已經可以免費取得數碼證書,作主機加密之用。
問:在可見將來,所有網站都要以加密方式傳送,是瀏覽器的基本保安要求?
李建軍:相信Chrome和Firefox,應該在一至兩年內,完成強制使用加密方式傳送的改革,因為過往申請和安裝數碼證書,都是一件十分之昂貴的事。但數年前推出let's encrypt這類由電子前線基金會負責的項目後,網站主人可以十分容易申請到數碼證書加以安裝,而且幾乎即時完成,令網站根本沒有藉口拒絕安裝數碼證書作加密之用,相信由防止黑客騎劫,到保障私隱等各方面來看,未來瀏覽互聯網,可能資訊傳遞過程經過多重加密,例如VPN加上全加密的https傳送,除了確保使用者的私隱,亦避免了當局利用中間人攻擊,或者偷取你的資料,或令你的資料全被刪去等等問題。Edge因為以Chrome為基礎,所以幾乎是同步改變,現時要看蘋果的Safari會否作出改變,但過往經歷來看都反映蘋果會作出改變,在保安問題上與其他業界領袖看齊。
0:00 / 0:00