http,即超文字傳輸協議,是網際網路上應用最為廣泛的一種網路協議。然而http協議以明文方式傳送內容,不提供任何方式的資料加密,這導致這種方式特別不安全。對此便衍生出能夠為資料傳輸提供安全的https(超文字加密傳輸協議),https一度成為各大**推崇的主流加密協議。
https加密連線也不再安全
不過,現在研究人員卻發現了一種攻擊方法能夠繞過https加密連線,進而發現使用者請求的**,但加密流量本身不會受到影響。更可怕的是,該攻擊對所有瀏覽器和作業系統均有效。
據透露,攻擊者可以在各種型別的網路中發動這種攻擊,甚至是在公共wi-fi中也可以。該攻擊主要利用了一種名為wpad(web proxy autodisovery)的特性,這種特性會將某些瀏覽器請求暴露給攻擊者,然後攻擊者就可以看到目標使用者訪問過的每個**的url了。
研究人員稱已發現可繞過https加密連線的攻擊手法
研究人員表示,將於下個月在拉斯維加斯的black hat(黑帽)安全大會上演示該攻擊手法。其中最有可能的攻擊方法是當使用者使用dhcp協議連線乙個網路,dhcp能被用於設定乙個**伺服器幫助瀏覽器訪問特定的**,攻擊者可以強迫瀏覽器獲取乙個proxy autoconfig (pac)檔案,指定特定**觸發使用**。惡意的pac**在https連線建立前獲取到url請求,攻擊者因而能掌握使用者訪問的明文url。
據悉除了url,其他的https流量也會受到攻擊的影響,並且在某些情況下, url的暴露就已經可以對安全造成致命的打擊了。例如,openid標準會使用url來驗證使用者和服務。另乙個例子是谷歌和dropbox提供的檔案共享服務,它會向使用者傳送乙個包含url的安全令牌,繼而進行工作。許多密碼重置機制也同樣依賴於基於url的安全令牌。攻擊者只要在上述的任何一種情況下獲得這些url,就能進入目標使用者的帳戶、獲取他們的資料。
***********************************=分割線******************************==
HTTPS的連線夠安全嗎?
我們可以常常在交易網站上看到這樣的語句 本網站使用最先進的ssl加密機制,提供您安全無後顧之憂 方便迅速的交易環境 似乎只要有提供ssl的網站就絕對安全,不會被駭客入侵。這是廣告用語,還是ssl真的如此強悍?我們從原理來仔細探討一下。實作方式和環境變因不安全才是關鍵 ssl很安全 是乙個客觀事實,因...
HTTPS安全通訊 2 SSL TLS加密協議
5.前向安全性 6.pki 二 通訊模式演化 三 ssl tls 基本執行過程 目前,應用最廣泛的是tls 1.0,接下來是ssl 3.0。但是,主流瀏覽器都已經實現了tls 1.2的支援。tls 1.0通常被標示為ssl 3.1,tls 1.1為ssl 3.2,tls 1.2為ssl 3.3。tl...
加密方式之訪問過程保證安全HTTPS
blog.ayla1688.cool 說到https,就會聯想到ssl證書,當有了ssl證書,並配置到伺服器端,才可以使用https協議。下面來說說https保證資料傳輸的安全性。通訊開始的時候,使用非對稱加密。先解決秘鑰的傳輸,客戶端訪問伺服器,伺服器選擇一種加密演算法將公鑰傳送給客戶端。客戶端拿...