2016年1月14日星期四

2016,低版本浏览器活不过这一年

公司在 15 年下半年完成了全站的 https 升级工作,完成时对外宣称「我们是目前位置唯一一家全站启用 https 的电商公司」,这是一份荣誉,全站 https 意味着在技术上更大程度地保障了消费者的信息和交易安全。
有一个消息也点燃了大家心中的另一个激情:“所有证书供应商从 16 年 1 月 1 日开始不再签发 SHA-1 签名的证书”,我们很早就看到 https 网页在 Firefox 的控制台中一堆黄色警报,警告 SHA-1 证书不安全。但是升级到 SHA-256 之后,会出现一些问题,部分浏览器会打不开网页,只能引导这些用户升级他们的浏览器。
但是让用户升级浏览器,何止这一个理由呀!

低版本浏览器安全堪忧

有这么几则背景:
  1. 从 16 年 1 月 20 号开始,微软不再支持 IE7/8 的升级(14 年 4 月 8 号就停止了对 IE6 的升级支持),对于这部分用户如果不升级到最新的浏览器,未来如果报出漏洞,可能会导致用户数据出现泄漏。
  2. SHA-1 签名的证书被证明已经可以在短时间内破解,所有证书供应商从 16 年 1 月 1 日开始不再签发 SHA-1 签名的证书,所有浏览器和操作系统也会将 SHA-1 证书标记为不安全。
  3. SSLv3 已经诞生了 18 年,最近公开的 POODLE 攻击也基本宣告 SSLv3 不再安全,并且 IETF 已经将 SSLv3 作为不安全的算法。
对低版本浏览器的兼容,不仅仅让前端工程师头疼,也让很多运维同学和安全同学苦恼,因为低版本的浏览器不支持 HSTS(出现对 https 的劫持攻击问题)、前向加密(RSA 交换的密钥未来可以被破解)、TLS1.2、SNI、session ticket、OCSP stapling 等特性。
这段时间,微软不断爆出新闻,通知用户,不再为 IE11 以下版本的浏览器和 win8.1 版本以下的系统提供技术支持。在这个大数据交互为背景的互联网时代,一个安全漏洞就可能让大面积的开发者捉襟见肘。

国内大公司的反应

BAT 三巨头,我就说说阿里巴巴吧,毕竟是自己服务的公司。
阿里巴巴也在逐步去除对 IE6、7 浏览器的支持,并且逐步将 PC 端的 SHA-1 签名证书和 SSLV3 算法下线,可以看到有些客户端访问阿里巴巴的页面会跳转到这个链接:https://www.taobao.com/markets/tbhome/ali-page-updater
阿里巴巴-低版本浏览器升级提示
并且在一些页面中,低版本的 IE 也会弹出提示框:
淘宝首页-低版本浏览器升级提示
天猫也是如此:
天猫首页-低版本浏览器升级提示

最后

上面提到的安全问题,受影响的不仅仅是 IE 用户,还有 Android 2.3 版本以下用户,使用这些设备的用户占比已经很低很低了。
这些内容足以看出,2016 年,那些低版本浏览器将离开中国的历史舞台了。


from 小胡子哥的个人网站 http://www.barretlee.com/blog/2016/01/14/update-your-browser/
via IFTTT