2017年5月23日 星期二

有 SSL 就足夠?


今天收到一家我經常幫襯的旅行社的電郵,叫我安裝他們的流動應用程式。最近也光顧了,所以安裝一下說不定能方便到自己。

安裝完畢,進入程序,發現登入選項,能用網頁上的帳號。好奇之下,監察自己的個人資料有沒有好好被保護。在這個時代,應用程式跟服務器溝通用 HTTPS 是必須的。這個他們做到了。可是,碌開 SSL 之後又如何呢?我最近的一個應用程式便用上了三層加密方法,萬一 SSL 被解開,至少數據不是「純文字」方式赤裸地呈現。不過,這個應用程式沒想得周到,不知道是費用有限、技術不足、經驗不夠、還是以為 SSL 很安全,解開 SSL 後全是沒加密的內容,密碼赤裸地流動著。這可以是一個很嚴重的問題!有不同的方法蹺過 SSL,保安不是想像中的安全。所以,大家在使用應用程式時,最好有各自的密碼,而且不要跟重要的密碼使用相同的內容。

沒有留言: