Lockheed Martin、Northrop Grumman、Boeing and和Raytheon都拥有未加密的网站。
据Motherboard报道,世界5大国防承包商中的4家——Lockheed Martin、Northrop Grumman、Boeing and和Raytheon——都缺乏基本的网站加密措施。去年,这四家公司一共收到了超过950亿美元的政府资金。
我们总是鼓吹加密不再是一个可有可无的选项。造成这一现象的原因有很多,但问题的关键是,浏览器正在使加密成为强制性的要求,并且情况也总如他们说的那样发展。谷歌已经开始采取一种严肃的做法,即在其Chrome浏览器中,用文本字段把HTTP网站标记为“不安全”。最终,在2018年的某个时候,所有HTTP网站都将会被标记为“不安全。”其他浏览器也会效仿这一做法。
不管你喜不喜欢,加密即将来临。
但是,加密才刚刚成为强制性的并不能作为这四家公司的借口。因为这四家公司不仅接触到了太多的敏感信息,而且与他们打交道的人都是高层人士,他们的工作也经常会被加密——这些通常都是网络钓鱼的主要攻击目标。
我不会天真到以为,你能够从他们的主站点上获取太多的敏感信息,并且如果你能,SSL无论如何也不会帮助你达成这一愿望。但是,如果存在登录门户,窃取登录凭证也是可能的。你可以实施一个中间人攻击。你可以跟踪用户访问的页面。而这些对安全性来说都是非常糟糕的。使一切变得更为讽刺的是,据称一些页面上还有关于网络安全的建议。
这是一个糟糕的外观,比其他一切还甚。它表明了你的整体安全态势,你最面向观众的网站甚至是不安全的。这个网站是很容易被攻破的。拿下它!
因为它们的地位和关系,这些公司必定是网络钓鱼的主要攻击目标,因此它们需要扩展验证(EV)证书。人们有时会质疑EV的有用性,但很少有人会对EV提出疑议。这些网站需要明确的证据证明它们的文章是合法的,而一个标准的DV SSL是不能完成这项任务的。
对于诸如Boeing、Northrop Grumman、Raytheon和Lockheed Martin这样的公司,是时候进行加密了。希望有一些外界压力会迫使它们做出明智的安全决策。
