网站运营 
首页 > 网站运营 > 浏览文章

分析针对HTTPS浏览器会话的攻击

(编辑:jimmy 日期: 2024/11/26 浏览:3 次 )
关于SSL网站的好消息就是:大多数SSL网站都运行着强大的加密技术。坏消息就是:超过60%的网站配置不当。Qualys公司的工程、网络应用程序防 火墙和SSL主管和兼究人员Ivan Ristic公布了他对1.2亿注册域名的研究结果。Ristic发现其中2000万注册域名支持SSL,而只有72万可能包含有效SSL证书,“这是非 常小的比例,但是这并不真正意味着只有一小部分网站在使用SSL,据我们所知,”Ristic表示。


更能说明问题的是,在所有SSL网站中,一半以上在使用SSLv2,这是较旧版本的SSL,并且不安全。只有38%的SSL网站配置良好,而 32%在协议中包含之前曝光的重新谈判漏洞。

与此同时,研究人员Robert Hansen and Josh Sokol详细说明了针对浏览器的HTTPS/SSL的24种利用技术,利用的是中间人攻击。其中包括:cookie中毒和注入恶意内容到浏览器标签。研究人员警告说,HTTPS并不能保证浏览器的保密性和完整性。

“天并没有塌下来,但是目前来说,SSL是相当脆弱的,”Hansen在黑帽大会中表示,“需要有适当的标签隔离、cookie沙盒等。”他推荐使用单独的浏览器来访问包含敏感信息的网站。

同时,Ristic表示,虽然SSL网站的状态在安全方面来说很“一般”,不过现在SSL还很少被攻击者攻击。“我认为,SSL并不是现在常见的攻击向量,因为还有更多更容易攻击的对象,现在我们应该开始修复SSL的问题,这是可以修复的问题。”

三分之二的SSL网站使用的是默认设置,这使它们很容易受到攻击,“为了解决这个问题,你应该提高警惕,与最终用户或者供应商交谈,看看是否能实现更好的配置,这可能也是更可行的解决方案,”Ristic表示。例如,对SSL服务器中不安全协议的默认支持就是一个常见错误问题。

“要配置好SSL服务器只需要花15分钟,为证书选择密钥尺寸,禁用不安全协议,并禁用不安全密码。”

而不安全的SSLv2很容易受到中间人攻击,虽然该版本SSL在大多数主流浏览器中已经禁用,但仍然运行很多SSL网站,“最可悲的就是,超过一半SSL网站支持SSL2,几年来,我们一直知道这是不安全的。”

他发现,而在SSL网站,反而很少或者不支持较安全的TLS1.1和1.2协议。

但调查发现,大多数SSL网站都使用了强大的加密技术,128位甚至更高。整体而言,Ristic表示,只有38.4%的SSL网站在安全和配置方面能够得到A,而只有61.46%可以得到B或者更低分。Ristic计划公布此次调查的所有数据,并且计划每年进行一次调查。
上一篇:8月21日百度大更新部分网站被K原因分析
下一篇:百度在8.21更新的五种现象
一句话新闻
一文看懂荣耀MagicBook Pro 16
荣耀猎人回归!七大亮点看懂不只是轻薄本,更是游戏本的MagicBook Pro 16.
人们对于笔记本电脑有一个固有印象:要么轻薄但性能一般,要么性能强劲但笨重臃肿。然而,今年荣耀新推出的MagicBook Pro 16刷新了人们的认知——发布会上,荣耀宣布猎人游戏本正式回归,称其继承了荣耀 HUNTER 基因,并自信地为其打出“轻薄本,更是游戏本”的口号。
众所周知,寻求轻薄本的用户普遍更看重便携性、外观造型、静谧性和打字办公等用机体验,而寻求游戏本的用户则普遍更看重硬件配置、性能释放等硬核指标。把两个看似难以相干的产品融合到一起,我们不禁对它产生了强烈的好奇:作为代表荣耀猎人游戏本的跨界新物种,它究竟做了哪些平衡以兼顾不同人群的各类需求呢?
友情链接:杰晶网络 DDR爱好者之家 南强小屋 黑松山资源网 白云城资源网 网站地图 SiteMap