T.S. |
透過技術更新,臉書網站將可避免有心人士藉由駭客工具火羊(Firesheep) 竊取用戶帳號資料。不過,目前這些功能並未預先設定,必須由使用者自行啟動。
社群網站臉書於週三(1 月 26 日)時宣佈,為確保用戶在瀏覽臉書網頁時能夠安全無虞,該公司將加入採用 SSL/TLS 之 HTTPS 加密機制。此舉也意味著,使用者在連上臉書網站時,將會看見鎖匙圖示或 SSL 綠色網址列。
在此之前,臉書僅在需要使用者輸入密碼的頁面會提供 HTTPS 身份驗證與加密通訊,然而,像是火羊這類駭客工具,卻可能輕易入侵這些 Web 2.0 網站。
有鑑於此,臉書開始將 HTTPS 擴大應用到所有頁面,讓使用者能夠更安全地瀏覽臉書網頁,否則像是火羊這類的駭客工具,簡簡單單就能夠惡意入侵成功,且盜走使用者帳戶資料。
比較可惜的是,臉書 HTTPS 不會預設啟動。根據臉書資訊安全工程師 Alex Rice 表示,該公司希望,未來有朝一日,能夠把 HTTPS 身份驗證與加密通訊變成預設機制,無論使用者在任何地方連上臉書網站,都能夠在 HTTPS 的環境下運作。
在這段過渡期間,臉書將會在未來幾週內,很快地將此功能開放給所有用戶。不過,使用者必須在「帳號設定」(account settings) 選單中,選取「帳號安全」(account security) 後,進入「進階安全設定」(advanced security features) 頁面,才能啟動該功能。
Rice 警告,至少在短期內,使用者可能會遇到一些問題。加密網頁,必須花較長時間才能載入,因此若啟動了 HTTPS 功能之後,使用者可能會感覺到臉書的速度變慢了。
此外,某些臉書功能,包含第三方開發的應用和程式,可能並不支援在 HTTPS 環境下運作。針對這些疑慮,該公司正努力設法解決。
不過,依照其它網站的經驗,任何速度變慢的情況都不會是太大的問題,只要臉書網站能夠確實符合此一通訊協定的要求。舉例來說,2010 年 7 月,Google 軟體工程師 Matt Cutts 便以 Google 的經驗貼文,發表對此的看法;簡單來說,你只需要記住一件事,就是:SSL/TLS 不再高不可攀。
Google 發現,HTTPS 並不會增加額外的硬體負擔,所耗用的資源也十分之少,因此從 2010 年 1 月開始,便把 HTTPS 列為 Gmail 的標準配備,當用戶登入時便會自行啟動。 Cutts 指出,對該公司的前台機器設備來說,僅占用了不到 1% 的 CPU 資源,每個連接也只耗用了 10KB 的記憶體,網路負載也低於 2% 。
Google 這麼做,臉書卻未能迅速比照辦理,尤其是在 2010 年出現火羊這樣的駭客工具之後,這點便更為其招致不小的批評。火羊的作者 Eric Bulter 表示,他設計這個工具的目的,是想要提醒大家注意,臉書在 Wi-Fi 無線網路環境中缺乏加密機制的既存弱點問題有多麼嚴重。