為了改進(jìn)連網(wǎng)安全性，很多網(wǎng)絡(luò)紛紛向HTTPS協(xié)議(超文本加密傳輸協(xié)議)過(guò)渡。不過(guò)現(xiàn)在來(lái)自意大利與奧地利的研究人員卻指出，HTTPS并非100%安全。因?yàn)樗麄儼l(fā)現(xiàn)，在Alexa流量排行榜上前1萬(wàn)個(gè)HTTPS網(wǎng)站中，有5.5%的TLS加密傳輸含有安全漏洞。

[[261319]]

近來(lái)各大瀏覽器品牌都致力于推廣HTTPS安全傳輸協(xié)議，一些廠商甚至共同創(chuàng)立Let's Encrypt免費(fèi)證書(shū)組織，以推動(dòng)全球網(wǎng)站都使用HTTPS，不過(guò)，來(lái)自意大利與奧地利的研究人員宣稱HTTPS并不如想像中的安全，在Alexa流量排行榜上前1萬(wàn)個(gè)HTTPS網(wǎng)站中，就有5.5%的TLS加密傳輸含有安全漏洞。

HTTPS的全名為HyperText Transfer Protocol Secure，基本上是通過(guò)HTTP網(wǎng)絡(luò)協(xié)議進(jìn)行通訊的，再利用SSL/TLS來(lái)加密封包。

研究人員指出，HTTPS所仰賴的SSL/TLS近幾年已被證實(shí)可遭受各種攻擊，而且需要同時(shí)在服務(wù)器端與瀏覽器端進(jìn)行修補(bǔ)，市場(chǎng)大量采用復(fù)雜且合成的協(xié)議版本，令外界更難辨識(shí)哪些攻擊是有效的或是這些漏洞對(duì)各種網(wǎng)絡(luò)應(yīng)用在安全性上的影響。

該報(bào)告檢查了Alexa流量排行榜上前1萬(wàn)個(gè)采用HTTPS傳輸協(xié)議的網(wǎng)站，從數(shù)字來(lái)看，在這5574個(gè)含有安全風(fēng)險(xiǎn)的網(wǎng)站中，有4818個(gè)可能遭受中間人攻擊，733個(gè)可能被完全解密，912個(gè)可能被部分解密。

這些加密上的漏洞造成898個(gè)網(wǎng)站將可完全被危害而遭注入式攻擊，其中不乏重要電商網(wǎng)站或網(wǎng)絡(luò)銀行服務(wù);有997個(gè)網(wǎng)站的內(nèi)容可能被駭客篡改;有10%的登入格式存在機(jī)密性問(wèn)題，允許駭客竊取密碼;412個(gè)網(wǎng)站的Cookie可能被盜用并被用來(lái)執(zhí)行連接挾持;還有142個(gè)網(wǎng)站含有檢自熱門(mén)追蹤器的主機(jī)內(nèi)容，而相關(guān)主機(jī)則是含有漏洞的，令使用者曝露在文件攻擊中。

【這是首次有研究人員針對(duì)網(wǎng)絡(luò)應(yīng)用程序與加密漏洞之間的關(guān)系系統(tǒng)化地進(jìn)行量化評(píng)估，完整的報(bào)告預(yù)計(jì)于今年5月舉行的IEEE安全暨隱私研討會(huì)上發(fā)表?！?/p>