為了改進連網安全性,很多網絡紛紛向HTTPS協議(超文本加密傳輸協議)過渡。不過現在來自意大利與奧地利的研究人員卻指出,HTTPS並非100%安全。因為他們發現,在Alexa流量排行榜上前1萬個HTTPS網站中,有5.5%的TLS加密傳輸含有安全漏洞。
近來各大瀏覽器品牌都致力於推廣HTTPS安全傳輸協議,一些廠商甚至共同創立Let's Encrypt免費證書組織,以推動全球網站都使用HTTPS,不過,來自意大利與奧地利的研究人員宣稱HTTPS並不如想像中的安全,在Alexa流量排行榜上前1萬個HTTPS網站中,就有5.5%的TLS加密傳輸含有安全漏洞。
HTTPS的全名為HyperText Transfer Protocol Secure,基本上是通過HTTP網絡協議進行通訊的,再利用SSL/TLS來加密封包。
研究人員指出,HTTPS所仰賴的SSL/TLS近幾年已被證實可遭受各種攻擊,而且需要同時在服務器端與瀏覽器端進行修補,市場大量採用複雜且合成的協議版本,令外界更難辨識哪些攻擊是有效的或是這些漏洞對各種網絡應用在安全性上的影響。
該報告檢查了Alexa流量排行榜上前1萬個採用HTTPS傳輸協議的網站,從數字來看,在這5574個含有安全風險的網站中,有4818個可能遭受中間人攻擊,733個可能被完全解密,912個可能被部分解密。
這些加密上的漏洞造成898個網站將可完全被危害而遭注入式攻擊,其中不乏重要電商網站或網絡銀行服務;有997個網站的內容可能被駭客篡改;有10%的登入格式存在機密性問題,允許駭客竊取密碼;412個網站的Cookie可能被盜用並被用來執行連接挾持;還有142個網站含有檢自熱門追蹤器的主機內容,而相關主機則是含有漏洞的,令使用者曝露在文件攻擊中。
【這是首次有研究人員針對網絡應用程序與加密漏洞之間的關係系統化地進行量化評估,完整的報告預計於今年5月舉行的IEEE安全暨隱私研討會上發表。】
- 調查區域:企業小調查(點擊預覽可查看效果)
APP商店搜索中關村在線,看2018年最新手機、筆記本評價排行
閱讀更多 中關村在線 的文章
