有 Https 就安全了嗎? 由於2014年許多 SSL 的漏洞被發現,SSL被廣泛的應用在 HTTPS 的網路資料傳輸。這篇文章主要說明網站在佈署HTTPS可能會遇到的潛在風險,注意事項、如何線上自我檢測的簡單方法與佈署上建議參考。 HTTPS (SSL/TLS)注意事項 因此,對於網站使用SSL提供 HTTPS來說,有沒有什麼要檢查的列表呢? 加密的金鑰至少要128bits 長 SSL V2 因為已知的風險較多,必須要設定為取消。建議使用TLS 1.2 X.509 certificates金鑰長度至少要…
Web Security
Browser Cache 的資訊安全測試
Browser Cache 的資訊安全測試 瀏覽器可以將瀏覽過的網頁資訊或是輸入過的資訊快取記錄, 問題是有些敏感性資料也會因此被快取記錄起來 間接造成資訊安全風險, 其他人可以利用 “Back”鍵或是 history可以看見之前所瀏覽的紀錄。 筆者前陣子到銀行開新帳戶,申請網路銀行時,第一次使用需要更改帳號密碼 於是銀行行員就導引筆者使用一台公用電腦,登入並且修改帳號密碼, 想像如果該電腦的瀏覽器是有快取的設定, 那麼該電腦就很容易造成帳號密碼外洩的管道。 因此,這篇文章主要介紹網站設定與測試所需要注意的地方。 如何測試 1. Back 最快與簡便的方式就是按瀏覽器的 “Back”,…
SSL 運作原理、安全威脅與防護之道
SSL 運作原理、安全威脅與防護之道 2014許多SSL 的資訊安全風險發生, SSL 被廣泛運用在 Browser 與 Web Site 溝通的加密與身分驗證 因為Browser 都會內建 CA 認證, 只要透過 HTTS 就可以建立以 SSL/TLS 的驗證與加密機制…