SSL只是基本安全措施

SSL安全协议是国际上最早应用于电子商务的一种网络安全协议,至今仍然有很多网上商店使用。在传统的邮购活动中,客户首先寻找商品信息,然后汇款给商家,商家将商品寄给客户。这里,商家是可以信赖的,所以客户先付款给商家。在电子商务的开始阶段,商家也是担心客户购买后不付款,或使用过期的信用卡,因而希望银行给予认证,SSL安全协议正是在这种背景下产生的。然而SSL并不是一个完整的安全方案,它只能保证我们访问网站的真实性和数据在浏览器与网站服务器通信的数据不能被黑客在传输过程中截取和破解,而在其他的很多方面,SSL并不能提供更加进一步的安全保障。
首先,SSL提供的是一种基本的保护机制,是为网上交易提供一个基本的信任环境,即SSL协议是基于认证的基础之上的。在SSL通信时,浏览器的下方就会出现一个“锁”的标志,点击这个“锁”就会出现专门的可以信任的第三方机构对我们访问的网站出具的证明,如经营这个网站的公司名称、网站的网址、证书的有效期等,这样就可以避免所谓的网站欺诈。
同时,我们会发现这种保证只是一种对证书申请方或购买方的陈述的确认。例如,最近就有一家美国公司以Microsoft的名义向美国著名的第三方认证公司Verisign申请站点证书并获得批准,而这家公司正是利用人们的这种错觉大肆行骗。所以说,在机制上SSL协议提供的是一种基本的或基础的证明方式,而不是完全商业化的信用保证机制。其次,SSL只是一种临时性的通信加密的手段,而不是对客户信息的全程的、完整的保护方案,SSL协议运行的基点是商家对客户信息保密的承诺。数据的加密方式有两种类型:一种是临时性加密(传输加密),即数据只在传输过程中,以加密形式进行保护,如图10―6所示;一种是永久性加密方式,即无论数据是在传输过程中也好,存放于数据库或服务器中也好,都以加密的形式保存(或者称之为端到端的加密方式)。SSL只在传输过程中加密SSL是一种传输型(临时)加密方式。因为对数据的加密和保护仅限于在互联网上的传输阶段。一旦会话结束,用户的数据就被存放于商家或银行的服务器当中,而这时数据很有可能是被以明文形式存放的。当用户在网上购买商品与服务,包括通过ISP连入互联网,如果采用信用卡支付方式,信用卡信息就会在网上服务提供商的ISP保存。对于用户们来说,不幸的是,黑客们偶尔会成功地闯入网上服务提供商的系统或ISP的系统,窃取用户的信用卡数据,对于这种泄密,消费者确实没什么办法,除非他在网上根本不运用任何信用卡信息。但这种风险也是相对的,用信用卡做其他事时,也会有风险,因为公司储存非网上用户信用卡信息数据库也有可能被闯入并窃取。
在电子商务的开始阶段,由于参与电子商务的公司大都是一些大公司,信誉较高,这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加,和人们逐渐适应网上购物方式时,个人的重要信息的端到端的保护问题就成为了一个重要的课题,而这仅仅依靠SSL加密通信是远远解决不了问题的。当然,世界上的安全厂家已经注意到了这个问题,提出了多种的解决方案。

你可能感兴趣的:(第三方,黑客,有效期)