赵建超

挑战题描述

今年央视的3.15晚会，曝光了Wi-Fi热点的安全问题。随着免费Wi-Fi热点的普及，不少人的账号存在被别人截获的风险，在某些情况下，甚至可能突破HTTPS协议窃取用户的账户信息。如今，不少电商网站（如京东、苏宁）就采用的是HTTPS协议进行数据传输，信息这么容易被捕获，那么上网的安全又该如何保障呢？（题号：20151001）

解题思路

京东和苏宁采用HTTPS协议登录后，默认不再使用安全登录控件（图1）。HTTPS协议相比原来使用的HTTP协议，在数据的传输过程中，对数据本身进行加密，账户信息更加安全可靠。HTTPS通常采用的是先进的TLS1.2协议（图2），目前，尚未有有效的破解方法。所以在理论上，它比安全控件更安全可靠。

本来是安全的协议，正确使用能够有效防止账户信息泄露。可是因为这些电商为了用户的体验和进行精准分析等方面的考虑，采用的页面不是纯的HTTPS页面，而是在页面中包含了其他非加密的HTTP页面等不安全的资源，或者采用了过时的加密技术，这样导致用户账户非常容易被捕获。

知道了账户信息丢失的原因，解决方法就可以很容易找到了。当然，最好的方法是这些网站采用纯HTTPS页面，不过这不是我们能够解决的事情。所以如果你认为网络不太安全，或者有怀疑，那么可以自己先采取一些安全措施，毕竟防人之心不可无。

解题方法

找回丢失的安全控件

安全控件登录的口令信息是被加密的，能够有效避免口令被捕获。安全控件的作用有两个方面：保护输入和加密数据。根据平台的使用不同，可以使用ActiveX或者Java applet实现。目前常见的安全登录普遍采用HTML制作页面，然后调用ActiveX控件输入账户信息，该控件通常称为安全控件。如果用户点击提交按钮的时候，客户端对口令进行加密，然后对加密后的口令在网络中进行传输，这样能够有效避免用户账户信息泄露。

可是就是这么一个安全的好工具，为了客户体验更好（安全控件需要下载），好多网站默认不使用安全登录控件，也就是说，即使你下载安装了安全控件，在登录的时候，也不会出现安全控件选择，导致好多人以为安全控件失效，从而彻底抛弃这一有效工具。

其实，如果使用IE调试模式，多次切换浏览器模式，让网站感觉到客户端可能处于不安全的网络环境。服务器就会让安全登录控件重新出现，从而找回安全控件。

首先打开浏览器，按下F12键，切换浏览器模式和文档模式（图3）。多次切换后，会重新出现安全控件选项（图4）。如果没有下载，单击下载，安装成功后即可使用。如果已经安装过，则可以直接使用。

混合浏览器调出安全控件

如果上述方法不会用，那么在你的计算机上安装不同内核的浏览器，轮流启动不同的浏览器，也可以让安全控件出现。笔者在计算机上安装了火狐浏览器、谷歌浏览器，安全控件立即就现身了。值得注意的是，谷歌浏览器的安全控件需要自己的许可才能运行。

数字证书登录

数字证书是网络的身份证，使用数字证书公钥加密的信息，除了数字证书的持有人之外，别人无法解密信息。就像打电话，特定的电话号码，只有号码的持有人能够接到电话。因此，使用电商发行的数字证书进行登录，可以有效避免信息被截获。

例如，支付宝数字证书是使用支付宝账户资金的身份凭证之一，可以加密信息并确保账户和资金安全（图5）。这种数字证书是个人数字证书，下载后会安装到电脑上。在本地计算机安全的情况下它能够保证账户安全，但是千万不要在公用电脑上或者不安全的电脑上安装数字证书。如果不能保证安全，那么就要抛弃数字证书这种方式，否则会带来更严重的问题，因为这个时候，登录靠的是数字证书而不是口令。