设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 数据 手机 公司
当前位置: 首页 > 服务器 > 安全 > 正文

世界最大色情网站用HTTPS数据加密,它如何让你更安全地看片?(4)

发布时间:2017-04-08 20:28 所属栏目:53 来源:雷锋网
导读:有 HTTPS就能放心开车? 就当羞羞网站张开怀抱拥抱HTTPS ,你以为万事大吉,可以放心嘿嘿嘿时,还有一些小插曲可能会让你心生疑虑。 (并不是这个问题) 外媒 wordfence 曾有一篇文章指出:在许多假冒知名公司的钓鱼网

世界最大色情网站 Pornhub 用 HTTPS 数据加密,它如何让你更安全地看片? | 深度

有 HTTPS 就能放心开车?

就当羞羞网站张开怀抱拥抱 HTTPS ,你以为万事大吉,可以放心嘿嘿嘿时,还有一些小插曲可能会让你心生疑虑。

世界最大色情网站 Pornhub 用 HTTPS 数据加密,它如何让你更安全地看片? | 深度

世界最大色情网站 Pornhub 用 HTTPS 数据加密,它如何让你更安全地看片? | 深度

(并不是这个问题)

外媒 wordfence 曾有一篇文章指出:在许多假冒知名公司的钓鱼网站中,如假冒 Google、微软、苹果等,所使用的 SSL 证书来自多个认证机构(CA)的颁发。Chrome 浏览器只对 SSL 证书的有效性进行判断,如果有效则直接将网站显示为“安全”。

即使网站证书已被 CA 认证机构撤销,Chrome 浏览器仍将站点标识为“安全”。已撤销”状态仅在 Chrome 开发人员工具中可见。而已发布有效 SSL 证书的恶意网站,需要一段时间后才会被拉入Chrome 的恶意网站列表中。

这是CA 证书失效延迟可能造成的后果。

知乎计算机问题优秀答主“车小胖”认为:HTTPS 并不是 100% 绝对可靠。

“斯诺登暴露出,针对IPsec,TLS的密钥交换所依赖的Diffie-Hellman算法攻击,即通过离线的超级计算机预先计算出海量的公钥、私钥对,一旦尝试出私钥就会得到Master Key,进而推导出session key,这样历史数据、现在、将来的数据全可以解密。

以上是被动攻击方式,针对数字证书欺骗则属于主动攻击,可以实时地解密用户数据。但种种主、被动攻击难度都很高,往往是以国家意志为源动力,而不是一些小团体所能完成的。”

雷锋网编辑还检索到,在一则《“净广大师”病毒 HTTPS 劫持技术深度分析》的文章中,还有病毒”劫持”SSL 证书的案例。

该病毒是通过代理的方式,以中间人攻击的形式来劫持 HTTPS 流量。当浏览器访问某度时,病毒驱动会将连向某度(61.135.169.125)443 端口 (HTTPS) 的链接重定向到本地的 10100 监听端口,explorer 中的病毒代码再代替浏览器发起与远端Web服务器的链接进行通讯。该病毒同时通过自己携带的证书分别与浏览器和远端 Web 服务器完成 SSL 握手,进而以中间人攻击的形式完全控制 HTTPS 链路通信。

如果你还注意到这句话——“HTTPS 协议需要到 CA 申请证书,一般免费证书很少,需要交费”,就会发现“HTTPS ,不是你想用就能用”。因此,一些免费发送证书的机构应运而生。

免费的午餐被利用时,用户吃到的可能是苍蝇。

世界最大色情网站 Pornhub 用 HTTPS 数据加密,它如何让你更安全地看片? | 深度

比如,非营利网络认证发放机构 Let's Encrypt 推出了开源免费的HTTPS认证服务。不过,据中关村在线报道,近期有专家发现,Let's Encrypt 发放的认证证书有被滥用的趋势。该报道还指出“迄今已发行 15270 个内含 PayPal 字样的证书,当中约有 96.7 %被用于钓鱼网站,这表示约有 14766 个钓鱼网站已经拥有与 PayPal 相关的证书”。

最后,照顾到部分看上去“什么技术也不懂”的 Pornhub 等类似网站用户的需求,雷锋网编辑向一位资深互联网从业人士请教了实操建议:

  • (编辑:ASP站长网)

网友评论
推荐文章
    热点阅读