Tumblr激活SSL,但有一个问题
斗牛牛 Tumblr周一通过激活SSL开始赶上现代安全标准。但是有一个问题:您必须手动在Tumblr上启用SSL。 如果您不熟悉,安全套接字层或SSL允许从Tumblr服务器传输到您的计算机的数据被加密。 SSL降低了随意窃听访问启用了网站的用户的可能性。 Tumblr所有者可以进入他们的Tumblr帐户设置仪表板并手动打开SSL。 Tumblr的安全工程总监Conrad Rushing在撰写宣布这一新功能的博客文章时写道,他甚至说Tumblr所有者不应该启用SSL。 “它不会改变仪表板的任何内容,它只是加密你与它的连接,”他写道。 “我们已经使用了几个星期甚至没有注意到。” 虽然Tumblr因为其博客所有者可以选择增加他们自己和访问者的隐私而受到称赞,但仍然存在一个问题:为什么Tumblr默认情况下没有为Tumblr的所有连接打开该功能?通过为所有网站流量启用SSL,Tumblr将为其用户及其访问者提供一个小而隐私前瞻性的优势。 应用安全测试公司Veracode的信息拼三张安全专家和首席技术官Chris Wysopal对Tumblr的举动表示赞赏,但表示这还远远不够。 “让它选择加入的唯一理由是节省雅虎的计算资源。你能想象今天卖汽车并说安全带或安全气囊是否可以选择?它可能是在70年代那样但它不是今天,“他说。 软件架构师兼安全专家Troy Hunt更不乐观。他说,在Tumblr为所有用户启用SSL之前,SSL实施不会产生太大影响。 “让人们可以选择启用他们可能无法正确理解的东西,这可能有助于他们在早期使用有限数量的用户进行测试,但很明显SSL应该是默认状态,”他说。 Tumblr告诉CNET,在某些时候它会默认为每个人打开SSL,但还没有。 “我们最终将默认为所有用户启用此功能,但为了最好地处理这种努力产生的巨大流量,我们首先要让用户能够选择加入,”Tumblr发言人说。 下午7:42更新PT与Troy Hunt发表评论。 下午7:13更新PT与Chris Wysopal发表评论。 下午5:47更新PT与Tumblr发表评论。 斗地主