学术出版商在学术信息的传播中起着重要作用。作为一个社会,我们需要能够依靠这些出版商安全、准确且内容完整地提供信息。我们还希望确保我们的个人信息(例如,网站密码)是安全的,学术出版商有责任保护我们社区的数据。
我很惊讶地发现,学术出版商的页面经常以 HTTP 发布,与 HTTPS 不同,HTTP 不会对传输中的数据进行加密。借助 Let's Encrypt 和 Certbot 等倡议,实施 HTTPS 变得容易得多(但我承认遗留系统可能会使其更加困难)。
作为一名学者,我关注内容的完整性。这在进行系统评价、荟萃分析,或仅仅是阅读研究和规划新研究时至关重要。我也关心我和我的同事的登录凭证的安全性。鉴于 密码被重复使用 的频率如此之高,基于 HTTP 的已发布页面威胁着访问学术出版商网站的人员的安全凭证。
为了追究学术信息传播者的责任,我们需要能够认识到这是否是一个普遍存在的问题,以及可以在哪些方面进行改进。例如,《科学》(Science) 杂志是备受赞誉的期刊之一,显然认为 HTTP 已经足够好,并且没有说明为什么没有升级。许多其他出版商也在放弃对用户的相同责任。
对于这种情况采取疏忽或轻视态度的出版商,轻视了用户的安全及其在准确内容呈现中的作用。从长远来看,这也会损害出版商自身:Chrome 浏览器开始将使用 HTTP 的页面标记为 不安全。鉴于如果文章受版权保护,用户别无选择,只能使用这些网站,并且没有其他方式可以共享这些材料,因此出版商对更广泛的学术界负有重大责任。
https-checker 项目
https-checker 项目旨在通过检查由 CrossRef(学术出版物的主要元数据存储库)索引的出版商的网站来解决此问题,以了解总体范围。CrossRef 中大约有 10,000 个成员(即出版商),其中约 7,500 个正在积极出版(意味着他们在 2017 年出版过)。
该项目开始于调查学术出版商的格局,以了解哪些出版商使用(和不使用)HTTPS。通过识别以不安全方式发布最多作品的出版商,我们可以与他们展开对话以改善这种情况。此前,我与 Collabra 进行了建设性对话,在联系他们后,Collabra 将其网页升级为默认使用 HTTPS。
Https-checker 刚刚完成其初始数据收集阶段。通过使用开源 HTTPS 测试工具 pshtt 和对 CrossRef API 的一系列调用,相对容易地 编写脚本来初步调查 出版商的安全实践。
| 活跃,默认 HTTPS | 活跃,非默认 HTTPS | 不活跃 |
|---|---|---|
| 1,923 | 5,575 | 2,513 |
乍一看,在 7,498 家活跃出版商中,有 26% 默认使用 HTTPS。一般来说,默认使用 HTTPS 的网站的估计范围在 10% 到 44% 之间。换句话说,与网站的总体情况相比,学术出版商似乎正在以相似的比率保护其网页的安全。即便如此,这并不能免除他们改善这种情况的责任。
运行基本的逻辑回归来尝试预测出版商是否默认将其页面设置为 HTTPS 表明,大型出版商更有可能这样做。出版商的出版物范围从 1 到 1,104,607。我们的分析表明,自 2017 年以来仅出版了 100 种出版物的出版商,默认使用 HTTPS 的可能性估计为 27%,而自 2017 年以来出版了 1,000 种出版物的出版商,默认使用 HTTPS 的可能性估计为 32%。鉴于出版物的平均数量,出版商默认使用 HTTPS 的估计概率为 31%(中位数:25%)。
展望未来
https-checker 项目的下一步是与一些不默认提供 HTTPS 的最大出版商展开对话。这些对话将被跟踪,以了解他们改善用户安全和他们提供的内容安全的积极性和意愿。
HTTPS 扫描可以比仅检查页面是否默认使用 HTTPS 更深入,并揭示其他可以进一步提高安全性的实践。例如,预加载 HTTP 严格传输安全 (HSTS) 标头可以帮助缓解中间人攻击。通过使用深入评估,我们可以找出已经默认使用 HTTPS 的网站可以进一步提高其安全性的方法。
在网页内容传输中更多地使用安全实践是安全网络和真实信息的关键,这最终会影响依赖互联网上发布的信息的用户。鉴于虚假信息正在传播,这似乎是 2018 年唾手可得的成果。
2 条评论