爱加密浅论移动互联网时代下网络信息安全重要性
汪婧
[摘 要]近几年移动互联网高速发展,中国互联网地下黑色产业也随着移动互联网的兴起进行了变迁。 几年前pc互联网时代,与广大网民关系最大应该木马盗号问题,随着杀毒软件的全面普及,以及oauth2的流行,这类问题越来越少了。现在涉及网民最广莫过于网络劫持问题。
[关键词]移动互联网;网络;安全问题
中图分类号:G250.72 文献标识码:A 文章编号:1009-914X(2017)35-0075-01
1 网络劫持对我们的影响
网络劫持后,我们访问正常网站时,所有的请求都被进行了窃听,我们输入的任何信息都可以被窃取,返回的页面也可以被各自篡改,私自增加广告,或者恶意代码。所以被劫持后,轻则被插入广告,通过你来获得黑色收入,重则对你网络财产进行盗取。
2 常见的劫持方法
我们日常app应用使用过程中使用最多的网络协议为http协议与https协议,针对这个情况,市面上产生了HTTP劫持和DNS劫持。
3 HTTP劫持
http請求是一个安全性较低的请求协议,http请求也是非常常见的一个劫持,比如你在浏览一个网站时,突然出现了一个与这个网站格外不符的广告时,基本上这个就是运营商插入的广告,他们通过劫持返回数据,判断返回数据如果是html文档时,进行了反回内容的替换,插入了一段劫持者代码。劫持者就可以进行广告插入,监听你的输入行为。
4 DNS劫持
DNS是域名系统,如果我们访问qq.com第一步需要到域名系统去获取的qq.com的服务器ip。DNS劫持就是指劫持者伪装成DNS服务器,给你一个并非是qq.com的ip。然后我们后续请求便全部与这个伪装的ip服务器进行了通信。这个服务器一般会根据你要访问的地址,来返回特定的内容。所以DNS请求就好像,你要去存钱,却去了一个假的银行站点,http劫持就好像我们去买东西,邮回来的东西却被中间人给加了广告纸。
5 可能的劫持来源
一般是网络运营商。网络运营商是指提供给你网络带宽服务的公司,包括中国电信,中国移动,中国联通,还有一些小的运营商,长城宽带,鹏博士等等,他们一般做网络劫持的目的有几种:1.插入广告进行创收。2.劫持各大电商网络进行购物返利。3.路由器供应商,有的路由器供应商偷偷的在路由器一层进行了网络监听,插入广告,实现收益。4.恶意软件,有的恶意软件,修改客户的dns,代理,来进行劫持。
6 移动应用开发者该如何面对
作为一名移动开发者开如何面对这么复杂的网络环境。
6.1 弃用http协议,升级到https。http协议被篡改劫持的成本很低,所以一般建议使用https代替http协议,也可以才用其他协议,其他通信例如socket通信等。
6.2 一般网页可以开启csp参数来阻止第三方插入资源到我们页面。csp是ContentSecurityPolicy的简称,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少XSS的发生。现代的浏览器已经基本支出这个参数,要使用CSP,只需要服务端输出类似这样的响应头就行了:Content-Security-Policy:default-src'self',类似的我们可以控制某个页面只能加载某个域名的图片,jscss,iframeobject资源。这样就可以限制住大部分的网络劫持插入的恶意网站的js资源了。csp是一个低成本高收益的方法来限制插入广告。
6.3 资源本地化,这个也是一般app采用最多的方法,将页面资源本行存放,不进行远程http请求来获得,这样彻底的解决了劫持的发生,不过来的新问题也是比较多,资源离线更新问题,本地开发与域名下开发有很多的不一致,所以资源本地化成本较大。
6.4 httpdns,解决dns劫持的一个新方式,HTTPDNS使用HTTP协议进行域名解析,代替现有基于UDP的DNS协议,域名解析请求直接发送到阿里云的HTTPDNS服务器,从而绕过运营商的LocalDNS,能够避免LocalDNS造成的域名劫持问题和调度不精准问题。
7 普通用户改如何面对
普通用户日常使用网络改如何解决网络劫持问题:
7.1 DNS尽量采用市面上比较可靠的DNS服务商,默认的运营商DNS可能存在劫持风险。
7.2 如果出现网络劫持可以到工信部投诉运营商。
7.3 出现插入广告可以找到对应资源进行屏蔽。
参考文献
[1] 陈萍,夏俊杰.移动互联网安全现状及应对策略[J].电信网技术,2010(02).
