2015年4月3日星期五

阅收藏:广泛使用HTTPS能防止对GitHub的攻击

电子前哨基金会(EFF)发表文章称,如果有更多网站启用加密的话,上周对GitHub发动的大规模DDoS攻击是能被防止的。攻击者劫持了使用百度JS代码的不相关中国网站流量,用向GitHub发送流量的代码替换百度代码。EFF认为这种做法非常恶毒,流量被修改的用户不知道被拉去发动了攻击。EFF软件工程师Bill Budington说,幕后的攻击者必须拥有访问骨干网路由器的特权才能修改百度的资源。流量能被劫持的原因是绝大多数中国网站都没有加密流量,百度的网站分析脚本默认没有加密。没有HTTPS,位于网站服务器和终端用户之间的任何人都能任意修改流量。相比之下,GitHub使用HTTPS全站加密,中国难以根据网址审查GitHub。GitHub在2013年曾短暂遭到封锁,但在前Google中国执行官李开复等人指出这会伤害中国开发者之后解除了封锁。















via Solidot

没有评论: