【eNet特约评论】在王志东离开之后,作为中国转载式门户领头羊的新浪网就成了一个没有灵魂人物的公司,我们知道马云、张朝阳、丁磊、马化腾、李彦宏,但除了资本势力的宫廷内斗、接二连三的高层地震之外,我们不知道谁的“魂”在支撑和塑造着新浪。 “灵魂人物”的缺失并没有让拥有先发优势的新浪遭受什么损失。三架马车的时代已经过去,腾讯早已经取代新浪成为中国最大的互联网门户网站。在百度和谷歌的搜索之争中,在网易Ajax邮箱、搜狗搜索的崛起当中,曾经在软件高手王志东执掌之下的新浪却反而患上一种技术贫血症。 今天要说的是新浪以明文传输帐号和密码的邮箱服务。HTTPS是一种特殊的传输协议,说简单一点,通过HTTPS协议传输的数据是保密的(术语叫做密文),即使黑客拦截下来,他也不知道其中的内容。与之相对的是HTTP协议,这是不加密的,所有内容都以明文方式传输。任何一个人,那怕是局域网中的同事,都可以清清楚楚地看到所传输的内容。 在IPV4之下,互联网是没有任何安全性可言的。在当年研读TCP/IP时,笔者记着某个前辈说的一句话。在互联网上传递信息,就好像在一个几百人的大屋子里向对面的一个人喊话,您说的话,屋子里的任何人都可以清清楚楚听到。这的确是当今互联网隐私安全的准确写照。 今天最为普及的互联网应用传输协议仍是HTTP,这意味这我们和网站服务器之间沟通的大多数信息,沿途任何一个局域网中的用户都可以清清楚楚地听到。基于以太网的广播属性,你访问任何一个网站的信息其实都已经送达了同事的电脑,只不过是他人的电脑没有理会罢了。只需要用一些拦截的软件,你的上网活动实际上都可以被同事的电脑所记录。 鉴于HTTP协议的缺陷,我们今天已经有了HTTPS,即采用了基于SSL协议的加密传输协议。比如我们访问银行的网站,或者是电子商务网站,有些浏览器会在地址栏中显示出特殊的颜色,这种情况下,您可以放心:所有的帐号密码信息都是以加密的形式传输,一般的黑客是无法破解这些内容的。 除了电子商务网站之外,今天,HTTPS在邮箱服务中也普及了。我们登录网易、Google的Gmail、Hotmail等邮箱,登录界面可能是通过HTTP协议传下来的,但是一旦输入帐号和密码,就可以看到HTTPS打头的地址。在Gmail等服务中,甚至是进入还没有安全需求的登录界面,已经是HTTPS的地址。 我们看到的一个奇观是,作为中国最大新闻转载网站的新浪,其包括免费和收费在内的邮箱服务还没有使用HTTPS,还是那种最古老的HTTP明文方式。我们在其HTML中看到,所有的帐号和密码信息,跟随一个形如“http://vip.sina.com.cn/cgi-bin/login.cgi”的网址被传向了新浪的服务器。既然不是HTTPS,所有信息都是以不加密的明文方式传输的。 客观地说,在中国早期不太完善的互联网市场,并非任何帐号和密码信息都是通过加密的手段传输。但时至今日,中国的网络安全环境早已恶化到了谈虎色变的程度,而各大门户都已经靠着网络广告获得了不菲的收入,已经有这个经济实力提升产品和服务的安全性能。在这样一个背景之下,新浪邮箱还在使用明文的HTTP来传输帐号和密码,显然是一件不可思议的事情。 随着从网络搜索市场中鸣金收兵,新浪越来越显示出一个“去技术化”的趋势,其技术水平呈现下降态势。除了不厌其烦地拷贝黏贴纸媒新闻、制作噱头标题之外,新浪已经拿不出什么堪称技术创新的产品。有评论人士认为,新浪今天靠卖广告位活得很滋润,但却没有未来可言。单从WEB技术储备的角度看,这种观点并不无道理。 综上所述,基于HTTP协议的WEB互联网在信息传输上没有什么隐私性可言。加密的HTTPS已经广泛地应用到了传输敏感数据方面。作为国内主要邮箱服务提供商的新浪,继续以明文方式传递帐号和密码是说不过去的。如果说“去技术化”后的新浪拿什么作为核心竞争力值得一番探讨,那么笔者在这里想忠告新浪:请首先为邮箱用户的密码和帐号开通一条加密通道。(令狐达评论)
|