我找到了一个很棒的网站,可以与人类对手在线下棋。没有广告。你不需要支付任何费用。你不需要提交任何个人信息。该网站唯一知道的是你的网址和与这场特定的象棋比赛有关的唯一标识符。该网站名为 PlainChess。它只能通过 HTTP URL 访问。这让我怀疑它是否安全。
它具有以下特点:
输入 URL (http://plainchess.timwoelfle.de),然后会弹出入口页面,如下所示:
玩白棋的一方输入一个唯一的字符串来标识此盘棋,例如
Bob_2020-04-04-2131hrs在另一个位置下黑棋的人必须输入完全相同的字符串。
双方玩家的屏幕上都弹出一个棋盘:
从现在起,玩家向网站发送的唯一附加信息是将棋子移动到棋盘上的特定位置的指令。然后,网站向两位玩家发送移动棋盘后的图像。
我的问题是:
- 黑客能从玩家和网站之间的数据流中提取任何有用的信息吗?黑客能提取的大概就是玩家的网址和棋步的无用资料?这些信息会被用于不良目的吗?
- 黑客是否可以在网站上插入恶意代码来劫持游戏...例如,插入广告,或导致跳转到另一个网站的代码,或者无形中向玩家发送病毒?(我猜这个问题的答案将取决于网站程序员采取了哪些步骤来阻止这种情况发生。)
- 我的想法是否正确:如果黑客可以冒充网站程序员,他们就总是可以插入恶意代码,但程序员可以采取一些措施使这一过程变得非常困难?
- 网站设计者有可能将不可见的恶意软件传输到您的计算机,而这些恶意软件可能是恶意的,而 Opera 不会对此进行标记吗?我怀疑答案是肯定的,非常简单。如果是,那么人们必须信任设计者。在这个特定情况下,我信任。
答案1
HTTPS 与 HTTP 有很多区别,但本质上 HTTPS 意味着网站在将数据从 A 发送到 B 时使用 SSL 加密来加密数据。
HTTPS 的一个不变之处在于数据的传输是加密的。这意味着额外的保护层防止任何人试图拦截数据传输。我把额外的保护层加粗,因为应该明白,没有什么是完全不可破解或万无一失的,只能有额外的保护层。
HTTPS 并不能保证拦截不会发生,它只是使拦截更难发生。
[a] 要回答这个问题,我必须知道你对有用的定义是什么。所有网站都可以告诉我们:
- 你的电脑上安装了哪些字体
- 根据程序,他们可以判断您是否安装了某个程序(例如,他们可以检查 Adobe、Google Chrome 等)
- 您最近访问过哪些网站
网站有大量信息可供浏览。以下网站列出了这些信息并给出了示例:http://browserspy.dk/accept.php
对于大多数人来说,这不是“有用”的信息,但如果您将数据出售给广告公司,那么所有这些信息都是美元符号。
此外,这些信息不依赖于 HTTP 或 HTTPS,这只是任何网站都可以获取的信息,因为它通常是无害的。
[b] 要更改网站代码,黑客需要入侵托管网站的服务器。这与 HTTPS/HTTP 无关;完全取决于网站托管方服务器的安全性。此外,如果网站调用其他网站/API,那么这些网站的来源也可能被黑客入侵,然后当网站完全安全的服务器调用 API 时,它将为您提供修改后的版本。本质上,链条的强度在于其最薄弱的环节,但在这种情况下,为了削弱环节,您需要访问源服务器,而 HTTPS 不会改变源服务器。
[c] 我认为我对问题 b 的回答基本涵盖了这一点,防止恶意代码插入取决于托管网站的服务器及其相关代码的安全性。因此,确实存在一些措施可以防止这种情况发生,但它们是在服务器级别进行的,而不是在浏览器中进行的。
[d] 是的,只要访问一个网站但从未点击任何内容,您就可能感染恶意软件。这些通常是漏洞利用工具包。您的浏览器、防病毒软件等会采取预防措施来抵御这些攻击,但没有什么是完美的。随着恶意软件变得越来越具有传染性,浏览器也会不断发展以防范这种情况,这反过来又使恶意软件变得越来越具有传染性,并且循环继续。理论上,这个循环永远不会停止,保护自己的最佳方法是保持一切最新,以便采用最新的安全定义。
总而言之,互联网上的隐私几乎是一个谎言;但这是一种悲观的观点:收集的有关您的大部分数据并不敏感。您真的在乎国际象棋网站是否收集了您计算机上的字体列表并将其出售吗?这个决定取决于您。有些人不在乎,因为这不是敏感信息,但对于某些人来说,属于您的信息在未经您同意的情况下被出售以牟取他人利益这一事实是一个大问题。
在大多数情况下,您关心的是敏感信息。如果您在网站上输入卡信息,那么 HTTPS 绝对值得注意。下棋时,情况就没那么重要了。
一切都归结为信任。你必须选择是否信任这个网站。但你必须为每个网站做出这个决定。