关闭

展开

职位空缺

招标资料

联络我们

网站设定https 确保传输安全

较早前,本专栏提过7月底推出的Google Chrome 68正式版,会把没有加密的一般「http」网站一律列为「不安全」。多年来,各浏览器开发商均大力推行「https」,加密传输数据,惟至今仍有许多网站继续使用未加密的「http」。

有外国研究网站列出各地区50大仍使用「http」的网站,被点名的香港网站中,不少浏览量很高,包括财经、购物、新闻、社交网站,部分甚至是政府网站。

在浏览这些「http」网页时,内容可能会在传输中被不法分子看到,导致个人敏感资讯洩露,造成损失。为了确保传输中的资讯安全,网站管理员应正确设定「https」协定。以下是三个常见的设定步骤:

  1. 在伺服器上启动TLS,并把网站及网页上所有本地连结的资源都以「https」连接。
  2. 把网站「http」连接埠转至「https」连接埠,并设定伺服器使用HSTS(HTTP Strict Transport Security)。HSTS的作用是指示用户端(如浏览器)必须使用「https」与伺服器建立连线,确保连线内容被加密,避免第三者从中攻击。
  3. 把网站配置了「https」,并将网页内所有内容都 「https」化后,如何确保在「https」网页中再没有「http」的来源及连接呢?网站管理员可在Firefox和Chrome浏览器中按F12,把网站中出现红色警告的「http」连结逐一修復为「https」,然后再在多种浏览器中检查网页。


不过一般用户亦须注意,「https」只能保障你和网站之间安全地传输资料,但「https」网站亦有机会是恶意网站,例如据Phishlabs资料,有四分一网路钓鱼攻击是在「https」网站上进行。所以浏览「https」网站仍要保持警觉,切勿轻易输入个人敏感资料。