学术出版商在学术信息的传播中起着重要作用。作为一个社会,我们需要能够依靠这些出版商安全、准确且内容完整地提供信息。 我们还希望确保我们的个人信息(例如,网站密码)是安全的,并且学术出版商有责任保护社区的数据。
我很惊讶学术出版商的页面经常以 HTTP 发布,这(与 HTTPS 不同)不会加密传输中的数据。 通过诸如 Let's Encrypt 和 Certbot 等举措,实施 HTTPS 变得更加容易(但我承认遗留系统可能会使它更困难)。
作为一名学者,我关心内容的完整性。 这对于进行系统评价、荟萃分析或仅仅阅读研究和规划新研究至关重要。 我还关心我和同事的登录凭据的安全性。 鉴于 密码被重复使用的频率,基于 HTTP 的已发布页面会威胁到访问学术出版商网站的人员的安全凭据。
为了追究学术信息传播者的责任,我们需要能够认识到这是否是一个普遍存在的问题,以及可以在哪些方面进行改进。 例如,最受好评的期刊之一《科学》杂志显然认为 HTTP 足够好,并且没有说明为什么它没有升级。 许多其他出版商也在放弃对用户的相同责任。
对这种情况采取疏忽或轻视态度的出版商轻视了用户的安全性及其在准确内容呈现中的作用。 从长远来看,这也会伤害出版商:Chrome 正在开始将使用 HTTP 的页面标记为不安全。 鉴于用户别无选择,只能使用这些网站(如果这些文章受到版权保护),并且没有其他方式可以共享这些材料,因此出版商对更广泛的学术界负有重大责任。
https-checker 项目
https-checker 项目旨在通过检查由 CrossRef 索引的出版商的网站来解决此问题,CrossRef 是学术出版物的主要元数据存储库,以了解整体范围。 CrossRef 中大约有10,000 名成员(即出版商),其中约有 7,500 名正在积极发布(意味着他们在 2017 年发布过)。
该项目首先调查学术出版商的格局,以了解哪些出版商使用(和不使用)HTTPS。 通过识别以不安全方式发布最大量作品的出版商,我们可以开始与他们对话以改善情况。 之前,我与 Collabra 进行了建设性的对话,在与他们联系后,该网页已升级为默认使用 HTTPS。
Https-checker 刚刚完成了其初始数据收集阶段。 通过使用 pshtt(一种开源 HTTPS 测试工具)和一组对 CrossRef API 的调用,可以相对容易地编写脚本来对出版商的安全实践进行初步考察。
| 启用,默认 HTTPS | 启用,非默认 HTTPS | 停用 |
|---|---|---|
| 1,923 | 5,575 | 2,513 |
乍一看,所有 7,498 家活跃出版商中有 26% 默认使用 HTTPS。 一般来说,默认使用 HTTPS 的网站的估计范围在 10% 到 44% 之间。 换句话说,与所有网站的总体相比,学术出版商似乎以相似的速度保护其网页的安全。 即使如此,这也不能免除他们改善这种情况的责任。
运行基本的逻辑回归以尝试预测出版商是否将其页面默认为 HTTPS 表明,大型出版商更有可能这样做。 出版商的出版物范围从 1 到 1,104,607。 我们的分析表明,自 2017 年以来只有 100 种出版物的出版商估计有 27% 的机会默认使用 HTTPS,而自 2017 年以来有 1,000 种出版物的出版商估计有 32% 的机会默认使用 HTTPS。 鉴于出版物的平均数量,出版商默认使用 HTTPS 的估计概率为 31%(中位数:25%)。
下一步
https-checker 项目的下一步是与一些未默认提供 HTTPS 的最大出版商展开对话。 将跟踪这些对话,以了解他们在改善用户及其所服务内容的安全性方面的积极性和意愿。
HTTPS 扫描可以比仅仅检查页面是否默认为 HTTPS 更深入,并揭示可以进一步提高安全性的其他实践。 例如,预加载 HTTP 严格传输安全 (HSTS) 标头可以帮助缓解中间人攻击。 通过使用深入的评估,我们可以确定已经默认为 HTTPS 的网站可以进一步提高其安全性的方法。
在网页上的内容传输中更多地使用安全实践是安全网络和真实信息的关键,这最终会影响依赖于互联网上发布的信息的用户。 鉴于虚假信息正在传播,这似乎是 2018 年的低风险易实现的目标。
2 条评论