在HTTPS中检测到大量漏洞
根据研究,令人震惊的网络顶级HTTPS站点有可利用的TLS漏洞。TLS代表传输层安全性,它是一种Web浏览器防御,可以对浏览器与其通信的Web服务器之间的数据进行加密,以保护您的旅行计划,密码和搜索历史记录。这是通过Web浏览器搜索栏开头的绿色挂锁来表示的。
然而,根据威尼斯Ca'Foscari大学和奥地利Tu Wien的研究团队的数据,令人惊讶的加密网站数量仍然暴露出来。这些团队分析了亚马逊Alexa分析公司排名的网站前10,000个HTTPs网站,发现5.5%的网站存在潜在可利用的TLS漏洞。
这些问题是由每个站点实现TLS加密方案的方式和未能修补已知错误的问题组合而引起的。但最令人不安的是,它们足够小,绿色挂锁仍会出现。
“我们在论文中假设浏览器是最新的,但我们发现的东西并没有被浏览器发现,”威尼斯Ca'Foscari大学网络安全和密码学研究员Riccardo Focardi说。“这些都是未修复的问题,甚至没有被发现。我们希望通过用户方尚未指出的网站TLS来识别这些问题。”
Focardi和他的研究人员将在5月的IEEE安全和隐私研讨会上展示他们的全部发现。他们开发了TLS分析技术,并使用现有的加密文献中的一些技术来抓取和审查前10,000个站点的TLS问题。
研究人员在5,574台主机中发现了TLS漏洞并将其分解为4,818,易受MITM攻击,733对完全解密,912对部分解密。MITM代表“中间人”攻击,受害者与另一个站点的通信被第三方拦截,中间有人拦截。
另外两个类别涉及浏览器和Web服务器之间更加严重的加密通道,使黑客能够解密通过它们的所有流量。这些最糟糕的变化是“受污染”的频道,它允许黑客不仅解密流量而且还修改和/或操纵它。