新發現的HTTPS漏洞可能會使您的資料暴露在外
義大利威尼斯CA'Foscari大學和奧地利Tu Wien大學的研究人員發現,超過10000個使用HTTPS的頂級網站仍然容易受到傳輸層安全漏洞的攻擊。HTTPS(超文字傳輸協議安全)在幾年前取代了HTTP,目前大多數頂級網站都在使用它,但是發現它仍然不安全。 HTTPS應該保護使用者免受中間人攻擊,並且不允許黑客訪問您的密碼,歷史記錄和其他資料。
新的研究表明,某些使用HTTPS來保護使用者和Web 伺服器 之間連線的網站仍然將一些使用者資料暴露給黑客。在被分析的10000個網站中,約5.5%的網站容易受到攻擊。HTTPS使用傳輸層安全性或TLS加密通訊。但是,有些網站沒有正確實施此協議。這些網站未能使用TLS修復一些已知錯誤。
當用戶訪問這些網站時,HTTPS的綠色掛鎖鎖仍然會出現在位址列中。TLS中的錯誤很難被檢測到,但它們仍然存在,並且可能被利用。研究人員使用TLS分析技術來分析前10000個網站。他們使用Alexa的排名表來查詢這些網站。該研究論文將在第四十屆IEEE安全與隱私研討會上發表,該研討會將於5月在舊金山舉行。
攻擊者可以使用這些漏洞來解密來自cookie的資訊。雖然cookie不會向攻擊者提供任何敏感資訊,但還有其他缺陷。攻擊者可以訪問瀏覽器和伺服器之間交換的幾乎所有資料。值得注意的是,被測試的10000個網站也連結到了大約91000個域名。這些漏洞也可能影響這些網站。在10000個網站中,898個網站完全易受攻擊,整個資料被發現受到破壞。另外977個網站的頁面完整性很低,這也是一個很大的問題。