近年來,大家會發現有時候逛網頁的時候,瀏覽器在網址前面會顯示「不安全」,這是因為Google瀏覽器Chrome從2018年7月24日起,將沒有https的網站,前面都加上了不安全的字眼,這句話看起來很驚悚,彷彿在看網頁的時候,你的資料已經被偷光了。
實際上是怎麼樣呢?別害怕與別擔心,其實沒那麼嚴重,首先要有個觀念,個人在網路上具有價值的東西,就是你的各種社群或line或facebook或銀行的帳號密碼,還有就是你的信用卡卡號,如果你只是逛逛網頁資料,沒有輸入帳密也沒有輸入信用卡資料,其實你完全可以不用擔心,顯示不安全的網站會對你有什麼威脅。然而不安全的網站就真的就會被偷走帳號密碼跟信用卡號嗎?
我們先講一下簡單的網頁怎麼運作,通常你在瀏覽器輸入帳號密碼按下送出之後,這個帳號密碼就會送到網頁的伺服器中做確認核對身份,核對無誤的話,就會讓你登入看到你的資料,那這個帳密傳輸的過程,你可以想像你的電腦在台北然後會傳送到facebook美國的機房做驗證,這段路途中所經過的所有網路節點跟設備,有心人是可以截取到這些資料的,但如果有加密的話,即便有人擷取到這些資料,都是亂碼無法直接使用,所以有https當然是會比較安全,因為在往來通訊的過程是加密的,他人就算攔截也無法得知到底是什麼資料。
此外我很喜歡用運鈔車比喻https,運鈔票去銀行,有https加密就是用武裝運輸車送錢去銀行,沒有https加密就是你個人赤手空拳帶錢去銀行,但是有個重點來摟:赤手空拳帶錢去銀行,你也不一定會遇到搶匪!!然後你辛苦的雇用武裝運輸車送前抵達了銀行的金庫後,若干日子之後,新聞說銀行被搶了...也就是說對駭客來說,他搶你一個人的資料其實太累又太少不划算,對他來說有價值的是搶銀行比較划算,所以駭客會攻擊銀行,也就是直接攻擊平台,一次竊取上千萬筆的資料,會比針對你一筆資料做攻擊來的好多。
所以信用卡資料流出,大部分是平台被攻擊洩漏出去造成,因為任何網站只要儲存信用卡且後三碼都儲存,方便你隨時可以買與刷,或是屬於訂閱制的服務,那就要小心,因為網站上儲存了信用卡資訊,一但被攻擊破台了,大筆的信用卡資料就會外流,當然你的錢抵達銀行後被搶,算是銀行損失不是你的損失,所以信用卡因此被盜刷,通常也是銀行端賠償,其實對你是不會有實質傷害的。
好的回歸正傳,這兩年我們通常是建議客戶加購https,但2021年我們將會強制我們的客戶購買https,這是為什麼呢?因為apple,facebook,Google這些api服務,都強制網站要使用https,不然你的網站就不能串接和使用這些服務,例如facebook登入,Apple app上架,Google 地圖API使用,這是一個網路群體的共識,就是大家從基本的安全開始做起,而且Google也會將沒有https的網站排序降低,通常客戶聽到就會願意加購https了。
當然我們不是要強迫推銷你貴的https,我們都提供客戶最便宜的https加密,只要買最便宜的其實效果是一樣的,其實https很多品牌,差別在於加密單位的權威跟公信力,因為便宜的https千元,貴的https幾萬元,價差非常大,我們誠實推薦選便宜的就可以。
如果這樣還不懂還想要買貴的就是好,我只能說:你要你的武裝運輸車是要賓士還是悍馬,還是賓利做的?其實這就是個人安全感品牌認知的問題而已,不論什麼加密品牌其實都有達到加密的效果。