研究人员:HTTPS不如你想的安全,5.5%含有TLS漏洞

发表于:2019-4-02 10:29

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:XL科技    来源:今日头条

#
漏洞
分享:
  近来各大浏览器业者都致力于推广HTTPS安全传输协议,科技业者甚至共同创立Let's Encrypt免费凭证组织,以推动全球网站都使用HTTPS,不过,来自义大利与奥地利的研究人员宣称HTTPS并不如想像中的安全,在Alexa流量排行榜上前1万个HTTPS网站中,就有5.5%的TLS加密传输含有安全漏洞
  
  HTTPS的全名为HyperText Transfer Protocol Secure,基本上是以HTTP(HyperText Transfer)进行通讯,再利用SSL/TLS来加密封包,
  研究人员指出,HTTPS所仰赖的SSL/TLS近几年已被证实可遭受各种攻击,而且需要同时在伺服器端与浏览器端进行修补,市场大量采用复杂且合成的协议版本,令外界更难辨识哪些攻击是有效的或是这些漏洞对各种网路应用在安全性上的影响。
  该报告检查了Alexa流量排行榜上前1万个采用HTTPS传输协定的网站,发现有5.5%的网站可能因为它们所采用的子网域或相依关系而变得不安全,在不少案例的漏洞是源自于外部或相关网域的主机。
  从数字来看,在这5,574个含有安全风险的网站中,有4,818个可能遭受中间人攻击(Man-in-the-Middle,MitM),733个可能被完全解密,912个可能被部份解密。
  这些加密上的漏洞造成898个网站将可完全被危害而遭注入脚本程式,且不乏重要的电子商务网站或网路银行服务;有997个网站的内容可能被骇客窜改;有10%的登入格式存在机密性问题,允许骇客窃取密码;412个网站的Cookie可能被盗用并被用来执行连线挟持(Session Hijacking);还有142个网站含有检自热门追踪器的主机内容,而相关主机则是含有漏洞的,令使用者曝露在档案攻击中。
  这是首次有研究人员针对网路应用程式与加密漏洞之间的关系系统化地进行量化评估,完整的报告预计于今年5月举行的IEEE安全暨隐私研讨会上发表。

     上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
精选软件测试好文,快来阅读吧~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号