信息來源:51cto
為了改進連網(wǎng)安全性���,很多網(wǎng)絡紛紛向HTTPS協(xié)議(超文本加密傳輸協(xié)議)過渡。不過現(xiàn)在來自意大利與奧地利的研究人員卻指出�,HTTPS并非100%安全。因為他們發(fā)現(xiàn)���,在Alexa流量排行榜上前1萬個HTTPS網(wǎng)站中��,有5.5%的TLS加密傳輸含有安全漏洞�����。
近來各大瀏覽器品牌都致力于推廣HTTPS安全傳輸協(xié)議���,一些廠商甚至共同創(chuàng)立Let's Encrypt免費證書組織����,以推動全球網(wǎng)站都使用HTTPS�����,不過�����,來自意大利與奧地利的研究人員宣稱HTTPS并不如想像中的安全�����,在Alexa流量排行榜上前1萬個HTTPS網(wǎng)站中�,就有5.5%的TLS加密傳輸含有安全漏洞���。
HTTPS的全名為HyperText Transfer Protocol Secure�,基本上是通過HTTP網(wǎng)絡協(xié)議進行通訊的�,再利用SSL/TLS來加密封包。
研究人員指出���,HTTPS所仰賴的SSL/TLS近幾年已被證實可遭受各種攻擊�����,而且需要同時在服務器端與瀏覽器端進行修補�����,市場大量采用復雜且合成的協(xié)議版本�,令外界更難辨識哪些攻擊是有效的或是這些漏洞對各種網(wǎng)絡應用在安全性上的影響。
該報告檢查了Alexa流量排行榜上前1萬個采用HTTPS傳輸協(xié)議的網(wǎng)站���,從數(shù)字來看���,在這5574個含有安全風險的網(wǎng)站中,有4818個可能遭受中間人攻擊�����,733個可能被完全解密����,912個可能被部分解密。
這些加密上的漏洞造成898個網(wǎng)站將可完全被危害而遭注入式攻擊���,其中不乏重要電商網(wǎng)站或網(wǎng)絡銀行服務;有997個網(wǎng)站的內(nèi)容可能被駭客篡改;有10%的登入格式存在機密性問題���,允許駭客竊取密碼;412個網(wǎng)站的Cookie可能被盜用并被用來執(zhí)行連接挾持;還有142個網(wǎng)站含有檢自熱門追蹤器的主機內(nèi)容�����,而相關主機則是含有漏洞的,令使用者曝露在文件攻擊中���。
【這是首次有研究人員針對網(wǎng)絡應用程序與加密漏洞之間的關系系統(tǒng)化地進行量化評估����,完整的報告預計于今年5月舉行的IEEE安全暨隱私研討會上發(fā)表���?!?
