[2634] Red Line Through HTTPS

Title Text:Some organization has been paying to keep this up and it hasn’t been removed from search results. Seems like two votes of confidence to me.

Origin:https://xkcd.com/2634/

https://www.explainxkcd.com/wiki/index.php/2634:_Red_Line_Through_HTTPS

穿过HTTPS的红色删除线

有某个组织一直付费维护这个网站;并且这么久了它也没被移除出搜索结果。对我来说,这看起来就像是两张信任票。

http://xkcd.in/comic?lg=cn&id=2634

一些 Web 浏览器显示 https 并带有一条穿过它的红线 ( https ),表示 HTTPS 连接存在问题。红线应该是对用户的明确警告,即连接不安全,任何人都可能在传输过程中观察或修改有关该站点或您发送到该站点的任何内容(如密码)。HTTP 连接也存在这种危险,但 HTTPS 连接用于安全通信,例如银行和电子邮件。

在实践中,某些站点配置错误,或者没有更新以使用更新的安全措施:尤其是当称为证书的安全数据在更新之前到期时,或者当用户的时钟设置为错误的年份时。在这些情况下,通过 https 的红线不是来自恶意攻击,但通常仍表示连接易受攻击。

在系统和网络入侵成为一种国际权力手段之前,有关 HTTPS 连接问题的主要关注点是用户是否浏览了正确的网站,或者是被黑帽邻居或病毒恶意插入的网站。如果对问题有合理的解释,人们无论如何都会浏览网站,这种习惯变得如此正常,以至于恶意行为者有时只依靠用户忽略警告变得很普遍。Cueball 将这种推理发挥到了极致,得出的结论是,带有红线的网页可能比更现代且被认为更安全的网页更可能是安全的。

有些人可能将漫画视为讽刺,所有这些安全措施都已到位,但人们不知道在升起旗帜时该怎么做,也许当事情变得更加成熟和复杂时更是如此。

当您看到这条红线时,正确的做法是首先下载证书并将其固定在系统的存储中。如果它发生变化,这将发出通知。对于自制证书,称为“自签名”,这是正常情况。如今,普通的公共网站不再需要自签名证书。第二件事是通过更安全的渠道联系业主和社区,并参与处理,直到问题得到妥善解决。

HTTPS 连接可能不安全的原因有很多种。可以在 badssl.com [1]上找到与危险的错误配置相关的原因列表。HTTPS 证书(确保您的信息不会被第三方窃取)可以免费设置,例如https://letsencrypt.org, 并且只需要几分钟,但请注意,这不是故意建立网站以窃取您的信息的人的障碍。网络钓鱼者可以使用 HTTPS 建立一个站点,并让它诱使您在一段时间内放弃您的信息,然后再被抓到并被击落。您可以使用免费的中间人软件对您的邻居执行此操作,他们将显示红线,表明您这样做了。https过时的红线是指站点被废弃时人们不更新证书的情况;该表达嘲笑了一个常见的错误,即提出任何相关借口以避免无法依靠 https 来验证您正在与您访问的真实网站进行通信的混乱情况。

标题文本使用了两个非常间接(并且不是真正可靠)的细节,就好像它们是加强错位信任的因素一样。首先,您可能会认为,如果有人仍在支付域名/托管费用,他们仍然对自己网站的内容充满信心。其次,无论出于何种原因,搜索引擎/档案似乎都没有失去对它信心。这两种假设都存在问题,并且对于恢复已经表现出的已经摇摇欲坠的理解几乎没有什么作用。它滥用信任因素的规范,讽刺现代安全性低下。

Leave a Reply

Your email address will not be published. Required fields are marked *

Categories