连HTTPS都有漏洞,这么不安全的互联网我们还要继续用吗?

时间:2022-05-01 10:47:24

转载自 http://www.huxiu.com/article/45302/1.html

10月24日和25日,虎嗅君参加了GeekPwn(极棒)安全极客嘉年华活动。
 
嗯...说是嘉年华,其实就是一场智能设备破解Show。对于虎嗅君这样不搞技术的媒体同学,也就只能当一场Show看了。对于真正的安全极客们来说,GeekPwn(极棒)是一场智能设备破解挑战赛。当虎嗅君正在观看智能硬件破解Show的时候,来自世界各地的顶尖极客们正在Pwn(破解)掉手中的智能设备。
 
作为最为普及的智能设备,智能手机是极客们的首要目标。先是曾经三获世界*黑客赛事Pwn2Own冠军的Keen Team利用芯片级的高危漏洞设计的App,实现了在Android手机关机的情况下通过麦克风和摄像头窃听监视手机用户,随后世界顶尖iOS越狱团队盘古团队全球第一个实现了iOS8的越狱。而今年最火的特斯拉智能电动汽车也成为极客们的目标。利用Keen Team和V2S团队发现安全漏洞,即使是普通人也可以通过浏览器远程操控特斯拉智能电动汽车。
 
最令虎嗅君吃惊的是,来自清华大学的段海新教授发现了HTTPS(超文本传输安全协议)设计上的漏洞。段海新教授演示了三种利用这一漏洞的方法:第一种,在Gmail中伪装Gtalk好友。攻击者可以伪装成用户的Gtalk好友给用户发送借款信息。第二种,在中国银联中窃取用户绑定的银行卡。当用户在自己的银联账号里绑定银行卡时,攻击者可以让用户要绑定的银行卡绑定到攻击者的银联账号里,而用户完成银行卡绑定操作后,用户的银联账号里并没有绑定的银行卡。第三种,在支付宝中窃取用户网购时的付款。当用户在网上购物后付款时,攻击者可以让用户的付款转移到攻击者的支付宝账号中,而用户完成付款操作后,网上购物的付款并没有成功。
 
这三种方法的实现条件是用户在公开网络下使用非加密的方式访问过普通网站。也就是说,用户只要有一次与攻击者共处在同一网络中,并且通过非加密的方式访问过普通网站,之后即使攻击者和用户不在同一网络中,攻击者也能完成攻击。
 
事实上,在此之前,微博上曾经就HTTPS是否安全掀起过一场“撕逼”大战。起因是央视认为免费WiFi非常的不安全,黑客可以轻易的通过免费WiFi窃取到用户的密码。央视警告用户不要使用免费WiFi登陆网银或支付宝。而@奥卡姆剃刀认为央视在传播错误的观点。他认为WiFi只是通道而已,网银和支付宝都使用了HTTPS,即所有数据的传输都经过加密的,黑客不可能通过WiFi窃取到密码。
 
@奥卡姆剃刀的观点引发了众多安全界顶尖极客的反驳,极客们认为HTTPS本身没有问题,但是网银对HTTPS的实现是有漏洞的。因为银行的程序员在编写网银程序时没有严格遵守HTTPS,所以攻击者可以通过伪造证书的方式进行中间人劫持攻击,从而窃取到用户的网银密码。
 
现在,段海新教授发现的HTTPS的漏洞,使得被安全界公认安全的HTTPS也不再安全。在段海新教授的演示中,全程使用了HTTPS,但是依然没有阻止攻击。段海新教授表示这不是HTTPS实现上的漏洞,而是HTTPS本身的设计有漏洞。从这一点上来说,这一次段海新教授发现的漏洞的危害性要高于“心脏出血”漏洞,毕竟后者只是OpenSSL在实现SSL过程中产生的漏洞,而不是SSL本身设计有漏洞。
 
那么,连HTTPS都有漏洞,这么不安全的互联网我们还要继续用吗?
 
事实上,互联网自诞生以来就没有安全过。

连HTTPS都有漏洞,这么不安全的互联网我们还要继续用吗?的更多相关文章

  1. Android安全之Https中间人攻击漏洞

    Android安全之Https中间人攻击漏洞 0X01 概述   HTTPS,是一种网络安全传输协议,利用SSL/TLS来对数据包进行加密,以提供对网络服务器的身份认证,保护交换数据的隐私与完整性. ...

  2. 你想了解的 HTTPS 都在这里

    HTTP 协议仅仅制定了互联网传输的标准,简化了直接使用 TCP 协议进行通信的难度.有关 HTTP 协议相关的讲解请看前面两节: HTTP 协议详解 HTTP协议详解(二) less is more ...

  3. HTTPS那些事(一)HTTPS原理

    转载来自:http://www.guokr.com/post/114121/ 谣言粉碎机前些日子发布的<用公共WiFi上网会危害银行账户安全吗?>,文中介绍了在使用HTTPS进行网络加密传 ...

  4. Android安全开发之安全使用HTTPS

    Android安全开发之安全使用HTTPS 1.HTTPS简介 阿里聚安全的应用漏洞扫描器中有证书弱校验.主机名弱校验.webview未校验证书的检测项,这些检测项是针对APP采用HTTPS通信时容易 ...

  5. HTTPS那些事(一)HTTPS原理(转载)

    原创地址:http://www.guokr.com/post/114121/   楔子 谣言粉碎机前些日子发布的<用公共WiFi上网会危害银行账户安全吗?>,文中介绍了在使用HTTPS进行 ...

  6. HTTPS原理

    谣言粉碎机前些日子发布的<用公共WiFi上网会危害银行账户安全吗?>,文中介绍了在使用HTTPS进行网络加密传输的一些情况,从回复来看,争议还是有的.随着网络越来越普及,应用越来越广泛,一 ...

  7. https那些事儿

    (一)SSL/TLS协议运行机制的概述 一.作用 不使用SSL/TLS的HTTP通信,就是不加密的通信.所有信息明文传播,带来了三大风险. (1) 窃听风险(eavesdropping):第三方可以获 ...

  8. &lbrack;转&rsqb;HTTPS那些事(一)HTTPS原理

    [转]HTTPS那些事(一)HTTPS原理 http://www.guokr.com/post/114121/ 楔子谣言粉碎机前些日子发布的<用公共WiFi上网会危害银行账户安全吗?>, ...

  9. HTTPS那些事(一) HTTPS原理

    谣言粉碎机前些日子发布的<用公共WiFi上网会危害银行账户安全吗?>,文中介绍了在使用HTTPS进行网络加密传输的一些情况,从回复来看,争议还是有的.随着网络越来越普及,应用越来越广泛,一 ...

随机推荐

  1. YYCache设计思路及源码学习

    设计思路 利用YYCache来进行操作,实质操作分为了内存缓存操作(YYMemoryCache)和硬盘缓存操作(YYDiskCache).内存缓存设计一般是在内存中开辟一个空间用以保存请求的数据(一般 ...

  2. Fiddler2 主菜单

    Fiddler2 主菜单 六个主菜单分别是: 文件(File) Capture Traffic ——启用捕获功能,快捷键 F12 此功能的开启/关闭状态,程序安装后默认是开启的.可以在 Fiddler ...

  3. 预处理prepareStatement是怎么防止sql注入漏洞的?

    序,目前在对数据库进行操作之前,使用prepareStatement预编译,然后再根据通配符进行数据填值,是比较常见的做法,好处是提高执行效率,而且保证排除SQL注入漏洞. 一.prepareStat ...

  4. 推荐使用C&plus;&plus; 11

    如果你的代码工作正常并且表现良好,你可能会想知道为什么还要使用C++ 11.当然了,使用用最新的技术感觉很好,但是事实上它是否值得呢? 在我看来,答案毫无疑问是肯定的.我在下面给出了9个理由,它们分为 ...

  5. 递推DP POJ 1163 The Triangle

    题目传送门 题意:找一条从顶部到底部的一条路径,往左下或右下走,使得经过的数字和最大. 分析:递推的经典题目,自底向上递推.当状态保存在a[n][j]时可省去dp数组,空间可优化. 代码1: /*** ...

  6. bootstrap 仿实例

    bootstrap实现一个网页 html文件 <!DOCTYPE html> <html> <head lang="en"> <meta ...

  7. jquery &dollar;&period;post 返回json数据

    $(function () { $("#prompt").hide(); $("#searchIpt").keyup(function () { var key ...

  8. ios7 UIScrollView 尺寸问题

    假设在UINavigationController内设置一个UIViewControlller,而UIViewController的第一个子视图是UIScrollView的话,UIScrollview ...

  9. HighCharts中的Ajax请求的2D折线图

    HighCharts中的Ajax请求的2D折线图 设计源码: <!DOCTYPE html> <html> <head> <meta charset=&quo ...

  10. SpringMVC学习笔记一:基本概念,执行流程与开发步骤

    转载请注明原文地址:http://www.cnblogs.com/ygj0930/p/6831328.html  一:基本概念 DispatcherServlet:前端控制器,负责把请求分发处理. H ...