iGardener 老師在2018年初,已經留意到 Google 在官網放風,
講明加重未加密 HTTP 網站的警示,並預告2018年7月會正式行動:
雖然iGardener 老師沒空沒錢去處理自費的i-garden.org 網誌的加密,
也要處理學校的網站,所以六月時已拜託IT手足
為學校網站申請所需的電子証書及完成設定 HTTPS 加密,
以備日子一到,學校網站不會被標示「不安全」(Not secure) 嘛。
24/7/2018 終於推出的新版本 Chrome 68 ,正式啟用極顯眼的標示功能,「驚死你睇唔到」!
香港學界如何應對?真的各有各精彩,讓 iGardener 老師為大家「八卦」一下:
1. iGardener 老師的學校
基於上述原因,iGardener 老師學校於6月已經申請所需的電子証書
及完成設定 HTTPS 加密,
故 Chrome 在我校校網此類安全的 HTTPS 網站的網址列左方,
顯示綠色有鎖的「安全」字樣(如下圖):
2. 學校 Google Suite for Education
學校所有Google Suite for Education 服務當然早已具備 HTTPS 加密,
故 Chrome 在 GMail 等 HTTPS 網站的網址列左方,
亦顯示綠色有鎖的「安全」(如下圖),
表示所有資料傳輸包括密碼經過加密,
過程中他人難以盜取學校 GMail 電郵資料:
3. 香港教育局
香港學界官方之教育局,當然早有準備,局方 edb.gov.hk 大部份服務,已具備 HTTPS 加密,
故 Chrome 在網站的網址列左方,
亦顯示綠色有鎖的「安全」(如下圖):
大家可見,教育局的電子証書是向香港郵政局申請的。
4. 香港考評局
相反,可能香港考評局早幾個月傾盡人手,忙於處理文憑試的改卷及放榜事宜,
竟然仍未準備好網站的電子証書,
現在只要使用者瀏覽其未加密的 HTTP 網站,
相同位置便會出現「不安全」的警示字樣(如下圖所示),
點擊該字樣,會另外顯示建議使用者不要在網站上輸入任何敏感資訊,
以避免遭到駭客竊取。
5. 「由香港去到宇宙都最勁」之 IT 翹楚學校
iGardener 老師瀏覽一所無人不識的IT翹楚學校時,
卻出現下圖的吊詭訊息:
按該校的電子証書時,
顯示由免費服務 Let’s Encrypt 提供,
相信兩者沒有因果關係吧?
6. 總結
iGardener 老師八卦歸八卦,網站安全是學校不能忽視的,
正如 Google 提醒使用者,採用 HTTP 協定的網站,
所有的互動都有機會透過未加密的形式向外散佈,
面對被置入廣告、惡意軟件、追蹤程式,或被引導可以攔截密碼的虛假網站的風險。
網絡保安專家亦提醒使用者,網上購物、買演唱會票或使用網上銀行時要留意網站是否安全,
避免在未經加密的網站輸入資料,以免資料被盜。
坦白說,香港學校最常用內聯網之「內聯電郵服務」,
無論使用介面及保安技術上,
已沿用逾十數年未見重大更新,
為保障學校及同工網絡安全(例如防止 ransomeware 及病毒),
IT老師實在有需要考慮將此「內聯電郵服務」部份,
轉移至速度、容量、保安皆遠高於現有服務的 GMail。
我的勸告一定激嬲好多人,要講真話,得罪人實難免!