2015年10月2日

BLOGGER 終於支援 HTTPS﹍搞懂安全傳輸協定的重要性及影響

A+
blogger-https-guide-BLOGGER 終於支援 HTTPS﹍搞懂安全傳輸協定的重要性及影響雖然 Blogger 近年來一直不被看好,很多人認為隨時可能被 Google 遺棄,然而他們可能不知, Blogger 持續不斷進行各種有形、無形的更新,例如官方發佈的「各種表達式語法」、WFU 發現的「Blogger 文章封面圖語法」。而最震撼的,就是官方昨日發佈的重大消息「Blogger 開始支援 HTTPS 安全傳輸協定」。

相信這是一個非常明確的訊息,以及給 Blogger 使用者的定心丸,因為支援 HTTPS 加密協定必須使用更好的伺服器進行運算,也代表 Google 在這方面的投資與決心。其實 WFU 對 Blogger 的前景看法一直沒變,可參考「Blogger 的未來」。

回到主題,Blogger 開放 HTTPS 功能後,無論目前是否需要、到底有沒有實質的好處,使用者要不要馬上開啟,的確需要評量一下。每個站長的需求不盡相同,這件事很難有標準答案,WFU 試著從各種角度,來思考 HTTPS 安全傳輸協定的功用與影響,提供不同的想法讓讀者做抉擇。

(圖片出處: pixabay.com)


一、HTTPS 的優點


初期官方有很多細節需要再測試、不少問題尚待解決,但畢竟已經跨出了很大一步。根據「官網的中文說明」,HTTPS 主要有這三個優點:

1. 加密:對交換的資料進行加密,防止資料遭到竊取。也就是說,當使用者在瀏覽網站時,任何人都無法「竊聽」其對話、追蹤他們在多個網頁之間轉換的活動,或竊取其資訊。
2. 資料完整性:系統會偵測出資料在傳輸過程中是否遭到有意或無意的修改或破壞。
3. 驗證:驗證您的使用者是否與預期的網站進行通訊。這能預防攔截式攻擊並建立使用者的信任感,進而促進其他商業利益。

在安全性這方面,HTTPS 的優勢跟 HTTP 相比是無庸置疑的。只不過 WFU 的初步想法是:

A. Blogger 都是公開的文字內容,訪客留言也都必須公開(官方無悄悄話功能),似乎沒什麼資訊好被攔截與竊取,或影響商業利益?

B. Blogger 不能控制後端伺服器,也就是說不像自行架站的平台,需要自己處理前後端的資料傳輸、驗證資料是否被竄改,那麼有無 HTTPS 似乎沒什麼差別?

C. 通常像是銀行、購物平台、需要 "輸入帳號密碼" 的會員系統,比較需要對 "交換的資料進行加密,防止遭到竊取",因此這些網站會是駭客願意花心力下手的目標。就算原本 Blogger 走 HTTP,但說實在駭客也沒什麼東西能下手,他們很忙的,應該不會想花時間從 Blogger 平台偷走什麼?而且 Google 的頂尖工程師們,已經幫我們把後端安全顧得很好了。

D. 我們的網站不是「科技部」、也不是「總統府」,而這些網站也不會想要架在 Blogger 平台。那麼,會有駭客想要花時間來竄改部落格平台的網頁內容嗎?

因此,官方列出的三項優點,並沒有太強烈的誘因讓我想啟用 HTTPS,因為看起來跟走 HTTP 沒什麼差別。



二、切換 HTTPS 步驟


blogger-https-lock-icon-BLOGGER 終於支援 HTTPS﹍搞懂安全傳輸協定的重要性及影響

無論如何,網址出現一個綠色鎖頭的圖案還是滿炫的,比較可以得到讀者的信任。如果想要切換為 HTTPS 的話,請參照以下內容:

1. BLOGSPOT.COM

目前官方只先開放 BLOGSPOT.COM 網域這個功能,也就是說,自訂網域 (就像 wfublog.com) 還要再等等。

除了參考官網中文教學「為網誌啟用 HTTPS」,+coke tech 也提供了 step by step 圖文說明:「好消息 GOOGLE BLOGSPOT 開始支援 HTTPS」。


2. 已知問題

由於功能才剛開放,不妨視為試用版,目前還有許多問題待解決,前面 coke 這篇文章、及下方我跟他的留言對話,都提到了不少項目。

主要癥結在於,只要切換為 https 模式,網頁中的所有連結,例如 js/css/jpg/html...,全部都要走 https,否則就會被判訂為 "混合內容"。

這件事要解釋得花不少篇幅,不過官網已經說明得很仔細了,並提供大致的自行修正方法,請參考官網的中文教學:「修正網誌的混合內容」。


3. 自訂網域

如果等不及官方開放自訂網域,也是有方法可以立即使用 HTTPS,因為免費的 CDN 服務「Cloudflare」之前開放了免費 SSL 的服務,所以可以藉由將網站交給 Cloudflare 代管,進而申請使用 HTTPS。

詳細的步驟,可參考 coke 這篇「自訂網址如何設定 CLOUDFLARE FLEXIBLE SSL,讓網站成功運行 HTTPS」。


4. 大陸市場

另外補充一點,若有讀者誤會 "開啟 HTTPS 可以突破大陸封鎖" 的話,藉機會說明一下,HTTPS 跟大陸封鎖是沒有關係的,並非資訊加密了之後大陸就無法封鎖。技術上而言,大陸是針對 IP 及網域進行封鎖,例如 BLOGSPOT.COM 的網域被鎖了,用 HTTPS 也是一樣。這件事要突破的話,請參考這篇「部落格網站如何不被大陸封鎖?」。



三、使用 HTTPS 的代價


1. 速度

一方面 HTTPS 需要進行加密運算,因此伺服器處理的時間會稍微多一點點。

不過影響比較大的應該是緩存(cache),以 HTTP 而言,當瀏覽器經常讀取相同檔案時,可以直接從 cache 抓資料,不必從網路傳輸。

HTTPS 為了確保每次傳輸的資料都是安全的,就必須每次都進行加密運算,也就是無法省下網路傳輸的時間,因此速度不能跟 HTTP 一樣快。

提外話,使用者端的瀏覽器,可以自行設定 HTTPS 是否使用緩存、間隔等等,可參考「Will web browsers cache content over https」。


2. Blogger 範本

如前面「二、切換 HTTPS 步驟」→「2. 已知問題」所提,Blogger 範本、小工具等等,有太多地方要檢查,像是 HTTP 必須切換為 HTTPS 的所有連結,這算是非常大的工程。

WFU BLOG 寫了很多小工具,以後也必須一一更新為符合 HTTPS 的版本。只是處理起來需要安排先後順序,有需要的讀者可在相關文章留言,我有更新版時,會一併處理 HTTPS 這一點。


3. 自訂網址使用 CDN

如前所述,目前自訂網址想要使用 HTTPS,可透過 Cloudflare 這個 CDN 服務。不過因為是免費的,就算有什麼狀況真的無法抱怨什麼。

在沒使用 HTTPS 的情況下,自訂網址的 Blogger 由於是 Google 產品,也等於放在 Google 的 CDN,因此全球不管在哪裡,連線速度都很快。交給 Cloudflare 代管的話,得看 Cloudflare 全球伺服器分布的量。目前 Blogger 在 Google CDN 的連線速度還是比 Cloudflare 快很多



四、深入瞭解 HTTPS


本文到目前為止的內容,似乎 WFU 沒給「BLOGGER 開放 HTTPS」這件事太高的評價,主要是因為一直沒有找到心目中能說服我的巨大誘因。

直到我看到這篇「HTTP 必死:先知 Google 呼籲大家升級 HTTPS, 網頁瀏覽更有保障」,總算內心能發出 "對!是應該使用 HTTPS" 這樣的聲音。不過先聲明一下,這純粹是個人觀點。

於是順便整理一下前面尚未提到的 HTTPS 優點,這幾點也許可以成為讀者的誘因;而引起 WFU 注意的,則是最後一點:

1. 搜尋排名

根據 Google 去年發佈的「HTTPS as a ranking signal」,HTTPS 將成為搜尋排名的依據之一,這代表使用 HTTPS 的網站,排名順位會比較前面。

以長遠來看,「HTTPS 是趨勢」沒錯,那麼時間拉長後,大家都有 HTTPS 的情況下,這就不再會是優勢。不過目前而言,至少其他免費部落格沒有 HTTPS,那麼 Blogger 就比較吃香,而且申請 SSL 憑證幾乎都是要錢的。


2. 公共場合 WIFI

如「一、HTTPS 的優點」→ 官網說明的第 3 點,HTTPS 可預防攔截式攻擊。因為整個網路從機房,一直到我們的瀏覽器,走 HTTP 的資料都可能被攔截,例如公開場所提供的免費 WIFI,有心人可以動手腳,在進入我們的網頁之前,竄改資料顯示不同的內容。

這也是一個不錯的誘因,只是能造成的傷害也沒多大就是了。


3. 聯絡表單

coke 談到 Blogger 的小工具「聯絡表單」,訪客傳送時可能包含機密個資,這的確是一個需要防範、具可能性的資安裂縫,那麼這一點足以成為開啟 HTTPS 的較大誘因。


4. 資訊監控

回到前面提的「HTTP 必死:先知 Google 呼籲大家升級 HTTPS, 網頁瀏覽更有保障」,這篇提到不少技術面的資訊,其實我對網路硬體知識瞭解不多,看完總算瞭解駭客在做的事:

  • 駭客們發現 HTTP 明文傳輸不僅會洩露數據,也會很容易被注入數據 → 消費者可能會轉帳到駭客的戶頭去
  • HTTP 不僅內容不加密,協議本身的(原語,頭部數據)也是不加密的,於是協議指令本身也可能被修改 → 股價跌了,但我們的瀏覽器可能看不到!
  • 我們筆電的鏡頭、麥克風可能會被劫持 → 導致不雅影像被偷走
  • 最重要的是,從機房一直到我們的電腦,所有資訊都可被監控 → 這就是大陸長城在做的事。

事實上,中國對資訊的控管程度,是每個傳輸封包都會檢查的,因此走 HTTP 的所有資訊,只要你的網站出現敏感詞,從封包內容就可以立即封殺。那麼,啟用 HTTPS 之後,就無法經由封包這一段,來判別資訊內容了!

我想,所有的網站、網路傳輸內容,都逐步的走向 HTTPS 化,會是反制資訊監控、箝制思想的起點;那麼,Google 的「HTTPS Everywhere」,確實是值得響應的。


資訊安全相關主題:

4 則留言:

  1. 剛看網誌的基本設定,孤狗還沒開放自定網址的網誌,只好慢慢等了。

    回覆刪除
    回覆
    1. 從官方的公告敘述研判,應該是會開放~~

      刪除
  2. 你的觀點我十分不認同,Https有它絕對的價值!
    給你講幾個外國事,這並不發生在你們台灣國
    第一:加密有絕對的價值,這一點沒錯吧?
    第二:你們對岸的紅朝,它有屏蔽封鎖過濾對吧?
    這個Https在某些情況下,可以突破它的封鎖。

    回覆刪除
    回覆
    1. 你說的跟「四、深入瞭解 HTTPS」→ 「4. 資訊監控」看起來是同一件事

      刪除

張貼留言注意事項:

◎ 勾選「通知我」可收到後續回覆的mail!
提問請附網址、詳細描述狀況,如提供的資訊不足,則無法回覆。
◎ 請在相關文章留言,與文章無關的主題請至「Blogger 中文論壇」。
◎ 若詢問 CSS 、非官方範本問題、或貴站為商業網站 ,請參考「本站諮詢頁面」→「1. 諮詢服務」
◎ 若留言要輸入語法,"<"、">"這兩個符號請用其他符號代替,否則語法會消失!
◎ 若發現留言不見了,通常是因為 "複製貼上" 的內容常被系統判定為垃圾留言,請不用擔心,我會定期將留言恢復。
◎ 本站「已關閉自刪留言功能」。