315“黑WIFI”启示：SSL势在必行

在曾经的315晚会上，消费者们的视线往往都集中在被曝光的各个不合格品牌上，而在今年的315晚会现场中，通过连接测试WIFI产生的个人信息泄露，无疑成为了人们关注的焦点所在。在“手机依赖症”愈发严重的当下，人们依靠着应用进行购物、休闲、阅读、社交……如何能够在频繁使用中确保自己的信息与财务安全，在SSL方面耕耘多年的F5公司亚太区安全架构师金飞先生表述了自己的看法。

如果我们把一次应用的交付过程进行简化描述，从用户在移动或电脑端发起应用，个人信息将通过客户端导向WIFI或网络运营商的服务器，然后抵达应用的服务提供商的数据中心进行处理反馈。我们在315现场视频中可以看到，用户信息在客户端到WIFI端的传输中，就已经出现了泄露。在现实环境中，这样的泄露可能源自app本身的问题，或者是WIFI路由被破解劫持。

如何真正的保证信息安全，端到端的SSL加密传输，可以在最大程度上保护用户的利益不受侵犯。几年前，SSL 只是被金融机构和一些特定组织（如公共部门机构）用于安全性要求高的网站与服务的登录页面。如今，其应用范围已扩展至大多数基于 web 的服务，而且正快速成为实际的通信协议。这也是为什么我们在315后续报道可以看到，通过正常渠道下载的银行app，不会存在信息泄露问题。此外，TLS（Transport Layer Security Protocol安全传输层协议）协议的推进乃至标准化，也使应用之间的通讯加密成为了可能。SSL与TLS被广泛接受可以从最大程度上保证信息安全；在未来，随着HTTP2.0的到来，依赖防火墙、入侵防护系统和采用检测系统的传统方法可能无法继续满足需求。

F5公司在SSL保密传输，以及SSL加速方面都有着多年的经验积累与实际案例。首先，通过F5针对页面欺诈的解决方案，用户可以避免将自己的信息传入到钓鱼网站乃至黑客的服务器上。此外，如果一个app供应商在自己的服务器前端部署F5 SSL设备，同时通过F5的iRules对app插入一个‘密码脚本’，即便用户的信息在‘黑WIFI’端被截获，黑客能够看到的也只是一串不明意义的密码，这段提前预设的密码只有通过F5 SSL设备解码后才能被正确解读并提供给后端服务器使用。

F5不希望为用户提供“黑箱”式的安全解决方案，所以之前描述的功能，用户可以完全按照自己的需求用iRules编排而得以实现。F5相信把安全策略的主动权完全交给用户，才能够使用户真正的有信心按照业务发展部署新的应用。

F5提示：用户良好的使用习惯与安全意识才是保证自身信息与财物安全的不二法门。通过非法渠道下载的app，其本身可能就存在着恶意插件。经常更换密码、使用复杂密码可以加大黑客获取利益的难度。WIFI本身只是我们日常使用中信息传输的一个节点，从端到端的保护才能在最大程度上保证一个应用的使用安全。

请君自测，如果你有以下考虑，请速速联系我们。

您的内部流量有多少是SSL或未加密？

您的应用架构团队未来需要加密流量吗？是否存在外部应用要求？

您了解AirGap及实施该架构背后的业务原因吗？

您的SSL密码是否符合最新的流行标准？

您是否知道F5可提供控制入站及出站SSL流量的SSL解决方案？

您是否对您的网站进行了SSL实验室测试？