30亿条个人信息被盗，全站HTTPS迫在眉睫

本文首发于微信公众号：网络安全生命周期

原文链接：30亿条个人信息被盗，全站HTTPS迫在眉睫

【特大流量劫持事件】

据新华网报道，日前，浙江绍兴市越城区公安分局侦破一起特大流量劫持案，涉案主角瑞智华胜，涉嫌非法窃取用户个人信息30亿条，涉及百度、腾讯、阿里、京东、新浪和今日头条等全国96家互联网公司产品，几乎涵盖了国内主要互联网企业。

原来这家公司是通过流量劫持（HTTP劫持）的方式，非法收集个人信息并盗用用户认证凭据（Cookie）进行精准营销（加粉、点赞、发帖、添加广告等）。

【根因分析】

目前广泛使用的HTTP协议，由于是明文传输，往往会被劫持，其中用于身份认证的凭据（Cookie）很容易被窃取，此外劫持者还会在返回的网页内容中添加js脚本，用于展示广告等原始网页中并不存在的内容。

要避免被劫持，需要网站提供者，主动启用HTTPS，保护用户隐私，防止被劫持。但HTTPS会增加额外的成本开销，配置管理比较麻烦，网站经营者为了节省成本，往往不愿意主动使用HTTPS，从而损失了用户利益。

【解决方案】

针对证书的成本问题，中小企业、个人站长可以申请使用Let's Encrypt的免费证书，该证书早已被各浏览器支持。

针对证书的配置管理问题，可考虑使用统一的网关和证书管理器，比如交由Janusec Application Gateway统一管理，Janusec还会对私钥进行加密，加密后保存在数据库中而不是文件系统，大大降低了私钥泄露的风险（可查看文章《加密，防止网站证书私钥泄露》，其中介绍了Janusec是如何保护证书私钥的，私钥加密存入数据库，不在文件系统明文存放）。

Janusec Application Gateway，是一款基于Golang开发的应用安全网关，具备WAF、CC攻击防御、证书私钥加密、负载均衡、统一Web化管理等功能，欢迎体验试用，目前已开源，地址：   https://github.com/Janusec/janusec