HTTP將會讓您的資料一覽無遺

這是一個便民的服務,但是才推出沒有幾天就被Gandi.net 亞洲區總經理 Thomas Kuiper踢爆該軟體未使用經過加密的HTTPS協定(參考schreibmal FB),帳號認證密碼採用HTTP(純文字)寄送,只要有心人士監控該網域,所有登入之帳號密碼將一覽無遺。

台北市政府為了便民服務利用智慧支付平台整合台北市政府機關多項對外收費項目,並與各家支付業者合作,提供民眾可透過單一平台查詢帳單並可利用喜歡的支付工具(如Pi行動錢包、台新銀行、玉山銀行、ezPay台灣支付、歐付寶、愛貝錢包、街口支付以及橘子支付等),快速邀納各項費用線上繳納。目前提供臺北市水費、停車費以及聯合醫院的醫療費,並可透過平台一次繳交多筆費用。未來會陸續納入更多繳費項目。

台北市政府推出之pay.taipei
台北市政府推出之pay.taipei
pay.taipei的帳密一覽無遺
因採用HTTP通訊協定,使用未加密之純文字傳送,pay.taipei的帳密一覽無遺
pay.taipei的帳密一覽無遺
因採用HTTP通訊協定,使用未加密之純文字傳送,pay.taipei的帳密一覽無遺

這是一個便民的服務,但是才推出沒有幾天就被Gandi.net 亞洲區總經理 Thomas Kuiper踢爆該軟體未使用經過加密的HTTPS協定(參考schreibmal FB),帳號認證密碼採用HTTP(純文字)寄送,只要有心人士監控該網域,所有登入之帳號密碼將一覽無遺。

HTTP為超文字傳輸協定(英文:HyperText Transfer Protocol),是初期網際網路上應用最為廣泛的一種網路協議。 設計HTTP最初的目的是為了提供一種發布和接收HTML資料的方法,然而所謂道高一尺,魔高一丈,當系統開始廣泛被使用之後,有心人士(很有可能是無聊人士)開始對於這個系統進行PLAY的動作,進行拆解、破壞、進一步的創造,發現了其中的眾多漏洞。

然而,初期的使用為傳送公開的訊息,因此裡面的資料被任何人擷取,對於系統而言無所謂,但是近年來的網路大爆炸,各種服務開始從實體店面搬移到網路虛擬空間,從個人資料、帳密、線上購物、線上刷卡等需求,而這些資料並不想要被他人所偵測擷取,因此開始發展出超文字傳輸安全協定(英語:Hypertext Transfer Protocol Secure,HTTPS),遊覽器(Chrome、Firefox、IE等等)會自動與該網站進行加密溝通動作(該網站需架設HTTPS通訊協定系統)。因HTTPS有經過SSL加密的動作,雖然這些加密之後的資料還是會被別人透過網域監聽的方式把資料偷走,但如果無法經過解密,這些資料也只是垃圾,相對的加密的技術就有差異了,加密技術不好,厲害的駭客只要數天就可以破解,因此HTTPS不是絕對的安全,只是相對安全,只防君子不防小人,因為加密的需求也衍伸了很多加密專長的公司。

不過所謂道高一尺,魔高一丈,請留意自己的網路安全,沒有絕對的安全,只有相對的安全。