美國計算機應急響應小組(us-cert)警告:很多攔截https流量的安全產品都沒有很好地驗證證書。
使用安全產品檢測https流量的公司,可能無法避免地弱化了其使用者加密連線的安全性,將使用者暴露給中間人攻擊。
us-cert是美國國土安全部(dhs)下屬機構,在最近的一次調查過後發布了乙份諮詢公告,稱https檢測產品並不能完全反映出客戶端和伺服器間原始連線的安全屬性。
https檢測會核對來自https站點的加密流量,確保不含有威脅或惡意軟體。該過程通過攔截客戶端到https伺服器的連線來實現,會以客戶端的名義建立連線,然後用本地產生的證書對傳送給客戶端的流量再次加密。做這項工作的產品基本上都相當於中間人**。
典型企業環境中,https連線甚至能被攔截並重加密多次:在網路邊界被閘道器安全產品或資料洩露預防系統攔截加密,在終端系統上被需要檢測此類流量中惡意軟體的反病毒程式攔截加密。
問題在於:由於任務落到了攔截**身上,使用者瀏覽器便不再能夠驗證真正的伺服器證書了。而實際上,安全產品在驗證伺服器證書上表現特別糟糕。
最近,多家機構的研究人員對https檢測實踐進行了調查。這些機構包括谷歌、mozilla、cloudflare、密西根大學、伊利諾伊大學香檳分校、加州大學、伯克利和國際電腦科學研究所。
他們發現,從美國連至cloudflare內容分發網路的https流量中,超過10%都被攔截了;而去往電商**的連線有6%被攔截。
分析發現,被攔截的https連線中,32%的電商流量和54%的cloudflare流量,這比使用者直接連線伺服器更不安全。
值得注意的是,被攔截連線不僅僅使用更弱的加密演算法,其中10-40%支援的還是那些已知被攻破的密碼。這些會導致中間人攻擊之後的攔截、降級、甚至解密該連線。
原因在於,瀏覽器製造商具備長期且恰當的專業知識理解tls連線和證書驗證的潛在怪癖。可以說,再沒有比現代瀏覽器實現得更好的客戶端tls(https採用的加密協議)了。
安全產品廠商使用過時的tls庫,定製這些庫,甚至嘗試重新實現該協議的一些功能特性,造成了嚴重的漏洞。
us-cert指出的另乙個普遍問題是,很多https攔截產品沒能恰當地驗證伺服器提供的證書鏈。
「證書鏈驗證錯誤很少傳送給客戶端,致使客戶端認為各項操作都是按照預期與正確的伺服器進行的。」
badssl**上,公司企業可以檢驗其https檢測產品是否不恰當地驗證證書,或者允許了不安全密碼通行。來自 qualys ssl labs 的客戶端測試,同樣可以對某些已知tls漏洞和缺陷進行檢測。
安卓 記憶體洩漏檢測工具 LeakCanary 使用
韓夢飛沙 yue31313 韓亞飛 han meng fei sha 313134555 qq.com 配置 build.gradle dependencies 使用說明 建立refwatcher全域性變數 使用refwatcher去監控引用,activity,fragment等中的記憶體洩漏 例子...
安卓使用者當心啦 這個App可能會偷走你的位元幣
近日,在android官方商店google play中發現了乙個危險的應用程式,它可以從手機中竊取位元幣及其它型別的加密貨幣。android clipper.c 在google play上模擬metamask 位元幣錢包位址處於安全考慮採用的是長字元組成,所以大家在使用時往往是通過複製貼上,這就給了...
安卓使用者當心啦 這個App可能會偷走你的位元幣
近日,在android官方商店google play中發現了乙個危險的應用程式,它可以從手機中竊取位元幣及其它型別的加密貨幣。android clipper.c 在google play上模擬metamask 位元幣錢包位址處於安全考慮採用的是長字元組成,所以大家在使用時往往是通過複製貼上,這就給了...