CLOSE

OPEN

CAREERS

TENDER INFO

CONTACT US

網站設定https 確保傳輸安全 (Chinese only)

較早前,本專欄提過7月底推出的Google Chrome 68正式版,會把沒有加密的一般「http」網站一律列為「不安全」。多年來,各瀏覽器開發商均大力推行「https」,加密傳輸數據,惟至今仍有許多網站繼續使用未加密的「http」。

有外國研究網站列出各地區50大仍使用「http」的網站,被點名的香港網站中,不少瀏覽量很高,包括財經、購物、新聞、社交網站,部分甚至是政府網站。

在瀏覽這些「http」網頁時,內容可能會在傳輸中被不法分子看到,導致個人敏感資訊洩露,造成損失。為了確保傳輸中的資訊安全,網站管理員應正確設定「https」協定。以下是三個常見的設定步驟:

  1. 在伺服器上啟動TLS,並把網站及網頁上所有本地連結的資源都以「https」連接。
  2. 把網站「http」連接埠轉至「https」連接埠,並設定伺服器使用HSTS(HTTP Strict Transport Security)。HSTS的作用是指示用戶端(如瀏覽器)必須使用「https」與伺服器建立連線,確保連線內容被加密,避免第三者從中攻擊。
  3. 把網站配置了「https」,並將網頁內所有內容都 「https」化後,如何確保在「https」網頁中再沒有「http」的來源及連接呢?網站管理員可在Firefox和Chrome瀏覽器中按F12,把網站中出現紅色警告的「http」連結逐一修復為「https」,然後再在多種瀏覽器中檢查網頁。


不過一般用戶亦須注意,「https」只能保障你和網站之間安全地傳輸資料,但「https」網站亦有機會是惡意網站,例如據Phishlabs資料,有四分一網路釣魚攻擊是在「https」網站上進行。所以瀏覽「https」網站仍要保持警覺,切勿輕易輸入個人敏感資料。