維基百科:強制加密登錄/博客原文
外觀
此頁面目前處於閒置狀態,僅供歷史參考而保留。 此頁面最後更新於2018年11月16日 (五) 06:14 (UTC)。此頁面的內容可能已無明確的共識支持,或是不再與討論的主題相關。若您希望重啟討論,請至互助客棧尋求更廣泛的意見。 |
此維基百科頁目前正依照其他維基百科上的內容進行翻譯。 (2013年8月8日) |
由Ryan Lane於2013年8月1日發佈。
維基媒體基金會非常重視保護讀者和編輯者的私隱。最近被曝光的稜鏡項目促使着我們要使用https作為社區會員訪問維基媒體基金會旗下項目的默認方式。慶幸的是,它的執行已經成為今年官方的計劃。並且自從部分語言的維基媒體項目可以使用https訪問時就已經成為了非官方的計劃。
我們當前不能默認使用https訪問,但是我們已經逐步進行改進使其成為可能。當我們成為稜鏡項目監控的目標時,我們加快了努力的速度。這是我們當前的路線圖:
- 強制轉向https來登錄,並且將使登錄進去的用戶鎖定在https訪問。這項改動預計會在8月21日16時(UTC)執行。
- 開展https基礎建設:在前端緩存中緩存SSL連結,前端伺服器集群也會隨着前端負載增大而擴大。[註 1]
- 將更多的精力放在更恰當地分配在我們前端SSL的緩存負載。在我們當前的架構中,我們使用基於哈希算法的負載平衡器,以允許SSL會話恢復。我們將切換到一個能夠支持分佈式SSL緩存的架構,否則我們將我們目前的計劃製作一個。這樣做將使我們切換到一個加權輪循負載平衡器,以使SSL緩存更有效率。[註 2]
- 從一些較小的項目開始,漸漸地為匿名用戶默認非強制啟用[註 3]https訪問,之後逐漸使更大的項目也開始非強制啟用。非強制啟用是指通過更換我們網頁頭部分的rel="canonical"標誌來使得搜尋引擎索引https頁面,而不是http頁面。
- 可以考慮啟用PFS(即Perfect Foward Secrecy)。這是唯一一種能夠在使用https的前提下還能進行流量分析、檢測用戶瀏覽活動的方式。
- 考慮強制啟用[註 4]https。「強制啟用」意味着強制講訪問http的用戶重定向到這些頁面的https版本。有一些國家,如其中最大的一個——中國,封鎖了維基媒體基金會旗下項目的https連接。所以使用「強制啟用」意味着大量的用戶可能根本不能夠訪問我們的項目。正因為這樣,我們認為這樣做弊大於利。但我們仍將繼續評估這樣做是否合適。
- 考慮啟用HSTS(HTTP Strict Transport Security)來避免傳輸過程中的中間人攻擊。使用HSTS也會使得我們的項目不能被很多用戶訪問,因為它將強制瀏覽器使用https訪問。並且如果一個國家封鎖了https,則該國使用者的瀏覽器一旦進行HSTS握手,連接就會被重置。[註 5]
事實上,除了將登錄用戶跳轉至HTTPS連結,我們還沒有為任何改變定下期限,但是我們將內部的定下期限,並更新這篇文章。 [註 6]
直到https被默認打開之前,我們敦促注重私隱的用戶在所有地方使用HTTPS或使用Tor[註 7]。
Ryan Lane
維基媒體基金會,作業工程師
註釋
[編輯]- ^ 原文:Move the SSL terminators directly onto the frontend varnish caches, and expand the frontend caching clusters as necessitated by increased load.
- ^ 原文:Put in engineering effort to more properly distribute our SSL load across the frontend caches. In our current architecture, we’re using a source hashing based load balancer to allow for SSL session resumption. We’ll switch to an SSL terminator that supports a distributed SSL cache, or we’ll add one to our current solution. Doing so will allow us to switch to a weighted round-robin load balancer and will result in a more efficient SSL cache.
- ^ 原文:soft-enable
- ^ 原文:hard-enable
- ^ HSTS信息儲存在header中嗎?原文:then every user in the country that received an HSTS header would effectively be blocked form the projects.
- ^ 原文:Currently we don’t have time frames associated with any change other than redirecting logged-in users to HTTPS, but we will be making time frames internally and will update this post at that point.
- ^ 原作者註:使用Tor有一些限制,見這裏(英語)。
外部連結
[編輯]著作權
[編輯]本文作者為Ryan Lane,根據CC-BY-3.0協議發佈。翻譯版本由於維基百科編輯的限制,與其他維基百科編輯一樣使用CC-BY-SA-3.0協議和GFDL協議發佈。