文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

更好还是更坏?Chrome浏览器新默认安全策略的两面性

2024-12-03 08:32

关注

[[389951]]

HTTPS也可能保护钓鱼网站

Chrome新版本的好处显而易见。在新版本中,Chrome浏览器将默认尝试加载经过传输层安全(TLS)保护的网站版本。这些网站在Chrome Omnibox中显示出一个封闭的锁,也就是我们大多数人所熟知的Chrome地址(URL)栏。但坏消息是,一个网站如果仅仅因为被HTTPS保护就完全信任它,是不合理的。

数年前,知名WordPress安全公司WordFence发现,证书颁发机构(CA)向冒充其他网站的钓鱼网站颁发了SSL证书。因为这些证书是有效的,所以即使它们是钓鱼网站,Chrome仍然会将这些网站报告为安全的网站。

当然,CA不应该向这些虚假网站办法证书,然而事件已经发生了,往者不可谏。据悉,这个名为Let's Encrypt的免费CA,曾被用来为非法使用 "PayPal "作为其名称一部分的钓鱼网站创建数千张SSL证书。

此外,零信任安全公司MetaCert的创始人兼首席执行官、万维网联盟(W3C)URL分类标准的联合创始人保罗·沃尔什认为,如果认为仅靠HTTPS就足以保证互联网连接的安全,将会产生很多问题。

"当基于DNS的安全服务刚推出时,大多数网络都没有加密,黑客也没有使用谷歌、微软、GitHub等可信的域名,所以它们在过去是有效的,但在今天就不那么有效了。"

在今天,82.2%的网站已经被HTTPS保护。

理论上的巨人,行为上的矮子

除了上述存在的客观情况,沃尔什认为谷歌的执行力也是一个问题。

他认为,谷歌是理论上的巨人,行动上的矮子。他在分析网站安全时发现,基本的URL挂锁是为了告诉用户他们与网站的链接是加密的。但是,一个挂锁并不代表任何信任或身份的信息。Chrome的UI设计师应该让网站身份更加明显,比如在工具栏上设置一个单独的图标来与挂锁区别开。

换句话说,谷歌现在的设计,可以让用户“安全”地进入一个钓鱼网站,这样的安全性不过是徒有其表罢了。

这种情况的发生不仅仅是因为那些拥有真实HTTPS证书的虚假网站。

Modlishka攻击会在用户和其想访问的网站之间创建一个反向代理。它使用户以为自己连接到了真实的网站,因为可以从合法的网站获得真实的内容,但反向代理默默地将用户所有的流量重定向到Modlishka服务器。

这样就导致了,用户的凭证和敏感信息,如用户输入的密码或加密钱包地址会自动传递给黑客。反向代理也会在网站提示要求用户提供2FA令牌,黑客就可以实时收集这些2FA令牌,来访问受害者的账户。

除此之外,沃尔什也完全不相信免费和简易的HTTPS证书是一件好事。

在他看来,大量使用自动发放的免费DV证书的网络攻击已经削弱了互联网的可信计算基础(TCB)。免费DV证书对网络安全是一种生存威胁。

沃尔什认为:

只有这样,网络才会走上真正安全的道路。

来源:zdnet

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯