目前我們看到網(wǎng)絡(luò)加密的速度比歷史上的任何時(shí)候都要快,全站HTTPS正在取得令人驚嘆的進(jìn)展�����,谷歌在去年公布了一組Chrome瀏覽器的數(shù)據(jù)��,我們看到HTTPS網(wǎng)站的迅猛增長:
全站 HTTPS 已經(jīng)成為一種趨勢����,并將最終成為所有網(wǎng)站的標(biāo)配。
Http協(xié)議更容易發(fā)生流量劫持
1�、http易致在線應(yīng)用被劫持
網(wǎng)頁技術(shù)在近些年里有了很大的發(fā)展,但其底層協(xié)議HTTP始終沒有太大的改進(jìn)�����,HTTP是一種使用了20 多年古老協(xié)議�����。在HTTP 里���,一切都是明文傳輸?shù)?,流量在途中可隨心所欲的被控制����。而在線使用的WebApp,流量里既有通信數(shù)據(jù)�����,又有程序的界面和代碼,劫持簡直輕而易舉�����。因此�����,劫持網(wǎng)頁流量成了各路黑客們的鐘愛�����,一種可在任意網(wǎng)頁發(fā)起XSS的入侵方式���。
2、HTTP 緩存投毒
HTTP這種簡單的純文本協(xié)議���,幾乎沒有一種簽名機(jī)制��,來驗(yàn)證內(nèi)容的真實(shí)性�。即使頁面被篡改了���,瀏覽器也完全無法得知�����,甚至連同注入的腳本也一塊緩存起來����。但凡具備可執(zhí)行的資源,都可以通過預(yù)加載帶毒的版本���,將其提前緩存起來���。
3、公共場合使用http��,不登陸也會被劫持
在自己的設(shè)備上����,大家都會記住各種賬號的登錄狀態(tài),反正只有自己用��,也沒什么大不了的����。然而��,在被劫持的網(wǎng)絡(luò)里,即使瀏覽再平常不過的網(wǎng)頁,或許一個(gè)悄無聲息的間諜腳本已暗藏其中�����,正偷偷訪問你那登錄著的網(wǎng)頁����,操控起你的賬號了�。
4、http狀態(tài)下Cookie 記錄或?yàn)g覽器自動填表單�����,都會導(dǎo)致賬號密碼被截獲
http狀態(tài)下,cookie記錄的都是明文的賬號密碼�����,被劫持泄露后,即使數(shù)量不多�����,也能通過社工獲取到用戶的更多信息��,最終導(dǎo)致更嚴(yán)重的泄露�����。
網(wǎng)站實(shí)現(xiàn)Https訪問能有效避免流量劫持
網(wǎng)站實(shí)現(xiàn)Https訪問能有效避免流量劫持,但前提是必須用受信任SSL證書。不同于簡單的Http代理�����,HTTPS 服務(wù)需要權(quán)威CA機(jī)構(gòu)頒發(fā)的SSL證書才算有效。自簽證書瀏覽器不認(rèn)���,而且會給予嚴(yán)重的警告提示���。而遇到“此網(wǎng)站安全證書存在問題”的警告時(shí)����,大多用戶不明白是什么情況�����,就點(diǎn)了繼續(xù),導(dǎo)致允許了黑客的偽證書�����,不受信任的HTTPS 流量因此遭到劫持�。
如果重要的賬戶網(wǎng)站遇到這種情況����,無論如何都不該點(diǎn)擊繼續(xù),否則大門鑰匙或許就落入黑客之手。
全站實(shí)現(xiàn)Https訪問的重要性
在 PC 端上網(wǎng)如果首先進(jìn)入的網(wǎng)站是使用不安全的HTTP 協(xié)議���。那么在該網(wǎng)站的頁面里注入XSS��,屏蔽跳轉(zhuǎn)到 HTTPS 的頁面訪問,用HTTP 取而代之,那么用戶也就永遠(yuǎn)無法進(jìn)入安全站點(diǎn)了�。盡管地址欄里沒有出現(xiàn) HTTPS 的字樣,但域名看起來也是正確的���,大多用戶都會認(rèn)為不是釣魚網(wǎng)站���,因此也就忽視了��。
因此����,只要入口頁是不安全的��,那么之后的頁面再安全也無濟(jì)于事。
有一些用戶通過輸網(wǎng)址訪問的�����,他們輸入了www.example.com 就敲回車進(jìn)入了����。然而�,瀏覽器并不知道這是一個(gè)HTTPS 的站點(diǎn)����,于是使用默認(rèn)的 HTTP 去訪問��。不過這個(gè)HTTP 版的頁面的確也存在���,其唯一功能就是重定向到自己HTTPS 站點(diǎn)上。
劫持流量的中間人一旦發(fā)現(xiàn)有重定向到HTTPS 站點(diǎn)的��,于是攔下重定向的命令,自己去獲取重定向后的站點(diǎn)內(nèi)容�����,然后再回復(fù)給用戶。于是�����,用戶始終都是在HTTP 站點(diǎn)上訪問��,自然就可以無限劫持了�。
國外各大知名網(wǎng)站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過Always on SSL(全站https)技術(shù)措施來保證用戶機(jī)密信息和交易安全���,防止會話攻擊和中間人攻擊���。
證書頒發(fā)機(jī)構(gòu)起關(guān)鍵
一家證書頒發(fā)機(jī)構(gòu)(如 GlobalSign)的作用是給您簽發(fā)證書并安裝到站點(diǎn)�����。證書在整個(gè)過程中起著至關(guān)重要的作用,即認(rèn)證。 如果您在地址欄中輸入sslchina.com��,然后按回車,當(dāng)頁面加載時(shí),您可以確定您已經(jīng)從sslchina.com加載頁面��,并且沒有人試圖模仿我����。 瀏覽器驗(yàn)證它收到的證書�����,以確保它是一個(gè)真正的證書而不是偽造的證書,證明它是由可信任的CA頒發(fā)的,并且該證書是發(fā)給sslchina.com的��。 這是瀏覽器在建立安全連接時(shí)執(zhí)行的第一步�,如果失敗,則不會再有任何事情發(fā)生
目前我們看到網(wǎng)絡(luò)加密的速度比歷史上的任何時(shí)候都要快�,全站HTTPS正在取得令人驚嘆的進(jìn)展,谷歌在去年公布了一組Chrome瀏覽器的數(shù)據(jù)���,我們看到HTTPS網(wǎng)站的迅猛增長:
全站 HTTPS 已經(jīng)成為一種趨勢����,并將最終成為所有網(wǎng)站的標(biāo)配。
Http協(xié)議更容易發(fā)生流量劫持
1�����、http易致在線應(yīng)用被劫持
網(wǎng)頁技術(shù)在近些年里有了很大的發(fā)展�����,但其底層協(xié)議HTTP始終沒有太大的改進(jìn),HTTP是一種使用了20 多年古老協(xié)議�。在HTTP 里,一切都是明文傳輸?shù)?�,流量在途中可隨心所欲的被控制����。而在線使用的WebApp,流量里既有通信數(shù)據(jù)��,又有程序的界面和代碼�,劫持簡直輕而易舉。因此����,劫持網(wǎng)頁流量成了各路黑客們的鐘愛,一種可在任意網(wǎng)頁發(fā)起XSS的入侵方式���。
2���、HTTP 緩存投毒
HTTP這種簡單的純文本協(xié)議�,幾乎沒有一種簽名機(jī)制,來驗(yàn)證內(nèi)容的真實(shí)性����。即使頁面被篡改了��,瀏覽器也完全無法得知����,甚至連同注入的腳本也一塊緩存起來�。但凡具備可執(zhí)行的資源,都可以通過預(yù)加載帶毒的版本�����,將其提前緩存起來����。
3、公共場合使用http����,不登陸也會被劫持
在自己的設(shè)備上,大家都會記住各種賬號的登錄狀態(tài)����,反正只有自己用,也沒什么大不了的�。然而�,在被劫持的網(wǎng)絡(luò)里��,即使瀏覽再平常不過的網(wǎng)頁�,或許一個(gè)悄無聲息的間諜腳本已暗藏其中,正偷偷訪問你那登錄著的網(wǎng)頁��,操控起你的賬號了���。
4�、http狀態(tài)下Cookie 記錄或?yàn)g覽器自動填表單���,都會導(dǎo)致賬號密碼被截獲
http狀態(tài)下�,cookie記錄的都是明文的賬號密碼����,被劫持泄露后,即使數(shù)量不多�,也能通過社工獲取到用戶的更多信息,最終導(dǎo)致更嚴(yán)重的泄露����。
網(wǎng)站實(shí)現(xiàn)Https訪問能有效避免流量劫持
網(wǎng)站實(shí)現(xiàn)Https訪問能有效避免流量劫持,但前提是必須用受信任SSL證書�����。不同于簡單的Http代理���,HTTPS 服務(wù)需要權(quán)威CA機(jī)構(gòu)頒發(fā)的SSL證書才算有效���。自簽證書瀏覽器不認(rèn),而且會給予嚴(yán)重的警告提示��。而遇到“此網(wǎng)站安全證書存在問題”的警告時(shí)���,大多用戶不明白是什么情況�����,就點(diǎn)了繼續(xù)���,導(dǎo)致允許了黑客的偽證書,不受信任的HTTPS 流量因此遭到劫持�。
如果重要的賬戶網(wǎng)站遇到這種情況���,無論如何都不該點(diǎn)擊繼續(xù),否則大門鑰匙或許就落入黑客之手����。
全站實(shí)現(xiàn)Https訪問的重要性
在 PC 端上網(wǎng)如果首先進(jìn)入的網(wǎng)站是使用不安全的HTTP 協(xié)議。那么在該網(wǎng)站的頁面里注入XSS�����,屏蔽跳轉(zhuǎn)到 HTTPS 的頁面訪問�����,用HTTP 取而代之��,那么用戶也就永遠(yuǎn)無法進(jìn)入安全站點(diǎn)了��。盡管地址欄里沒有出現(xiàn) HTTPS 的字樣����,但域名看起來也是正確的,大多用戶都會認(rèn)為不是釣魚網(wǎng)站��,因此也就忽視了。
因此��,只要入口頁是不安全的�����,那么之后的頁面再安全也無濟(jì)于事�����。
有一些用戶通過輸網(wǎng)址訪問的�,他們輸入了www.example.com 就敲回車進(jìn)入了��。然而�,瀏覽器并不知道這是一個(gè)HTTPS 的站點(diǎn),于是使用默認(rèn)的 HTTP 去訪問�。不過這個(gè)HTTP 版的頁面的確也存在,其唯一功能就是重定向到自己HTTPS 站點(diǎn)上��。
劫持流量的中間人一旦發(fā)現(xiàn)有重定向到HTTPS 站點(diǎn)的��,于是攔下重定向的命令��,自己去獲取重定向后的站點(diǎn)內(nèi)容�����,然后再回復(fù)給用戶。于是��,用戶始終都是在HTTP 站點(diǎn)上訪問����,自然就可以無限劫持了。
國外各大知名網(wǎng)站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過Always on SSL(全站https)技術(shù)措施來保證用戶機(jī)密信息和交易安全����,防止會話攻擊和中間人攻擊。
證書頒發(fā)機(jī)構(gòu)起關(guān)鍵
一家證書頒發(fā)機(jī)構(gòu)(如 GlobalSign)的作用是給您簽發(fā)證書并安裝到站點(diǎn)。證書在整個(gè)過程中起著至關(guān)重要的作用��,即認(rèn)證���。 如果您在地址欄中輸入sslchina.com�,然后按回車���,當(dāng)頁面加載時(shí)�����,您可以確定您已經(jīng)從sslchina.com加載頁面�,并且沒有人試圖模仿我。 瀏覽器驗(yàn)證它收到的證書�����,以確保它是一個(gè)真正的證書而不是偽造的證書���,證明它是由可信任的CA頒發(fā)的,并且該證書是發(fā)給sslchina.com的����。 這是瀏覽器在建立安全連接時(shí)執(zhí)行的第一步,如果失敗����,則不會再有任何事情發(fā)生
微信掃一掃
