自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

更好還是更壞?Chrome瀏覽器新默認(rèn)安全策略的兩面性

作者:三分淺土
安全
從Chrome 90開始,用戶將會被自動引導(dǎo)到任何網(wǎng)站的安全版本。這聽上去很好,但它或許并不像我們想象的那么好。

從Chrome 90開始,用戶將會被自動引導(dǎo)到任何網(wǎng)站的安全版本。這聽上去很好,但它或許并不像我們想象的那么好。

[[389951]]

HTTPS也可能保護(hù)釣魚網(wǎng)站

Chrome新版本的好處顯而易見。在新版本中,Chrome瀏覽器將默認(rèn)嘗試加載經(jīng)過傳輸層安全(TLS)保護(hù)的網(wǎng)站版本。這些網(wǎng)站在Chrome Omnibox中顯示出一個封閉的鎖,也就是我們大多數(shù)人所熟知的Chrome地址(URL)欄。但壞消息是,一個網(wǎng)站如果僅僅因?yàn)楸籋TTPS保護(hù)就完全信任它,是不合理的。

數(shù)年前,知名WordPress安全公司W(wǎng)ordFence發(fā)現(xiàn),證書頒發(fā)機(jī)構(gòu)(CA)向冒充其他網(wǎng)站的釣魚網(wǎng)站頒發(fā)了SSL證書。因?yàn)檫@些證書是有效的,所以即使它們是釣魚網(wǎng)站,Chrome仍然會將這些網(wǎng)站報(bào)告為安全的網(wǎng)站。

當(dāng)然,CA不應(yīng)該向這些虛假網(wǎng)站辦法證書,然而事件已經(jīng)發(fā)生了,往者不可諫。據(jù)悉,這個名為Let's Encrypt的免費(fèi)CA,曾被用來為非法使用 "PayPal "作為其名稱一部分的釣魚網(wǎng)站創(chuàng)建數(shù)千張SSL證書。

此外,零信任安全公司MetaCert的創(chuàng)始人兼首席執(zhí)行官、萬維網(wǎng)聯(lián)盟(W3C)URL分類標(biāo)準(zhǔn)的聯(lián)合創(chuàng)始人保羅·沃爾什認(rèn)為,如果認(rèn)為僅靠HTTPS就足以保證互聯(lián)網(wǎng)連接的安全,將會產(chǎn)生很多問題。

"當(dāng)基于DNS的安全服務(wù)剛推出時(shí),大多數(shù)網(wǎng)絡(luò)都沒有加密,黑客也沒有使用谷歌、微軟、GitHub等可信的域名,所以它們在過去是有效的,但在今天就不那么有效了。"

在今天,82.2%的網(wǎng)站已經(jīng)被HTTPS保護(hù)。

理論上的巨人,行為上的矮子

除了上述存在的客觀情況,沃爾什認(rèn)為谷歌的執(zhí)行力也是一個問題。

他認(rèn)為,谷歌是理論上的巨人,行動上的矮子。他在分析網(wǎng)站安全時(shí)發(fā)現(xiàn),基本的URL掛鎖是為了告訴用戶他們與網(wǎng)站的鏈接是加密的。但是,一個掛鎖并不代表任何信任或身份的信息。Chrome的UI設(shè)計(jì)師應(yīng)該讓網(wǎng)站身份更加明顯,比如在工具欄上設(shè)置一個單獨(dú)的圖標(biāo)來與掛鎖區(qū)別開。

換句話說,谷歌現(xiàn)在的設(shè)計(jì),可以讓用戶“安全”地進(jìn)入一個釣魚網(wǎng)站,這樣的安全性不過是徒有其表罷了。

這種情況的發(fā)生不僅僅是因?yàn)槟切碛姓鎸?shí)HTTPS證書的虛假網(wǎng)站。

Modlishka攻擊會在用戶和其想訪問的網(wǎng)站之間創(chuàng)建一個反向代理。它使用戶以為自己連接到了真實(shí)的網(wǎng)站,因?yàn)榭梢詮暮戏ǖ木W(wǎng)站獲得真實(shí)的內(nèi)容,但反向代理默默地將用戶所有的流量重定向到Modlishka服務(wù)器。

這樣就導(dǎo)致了,用戶的憑證和敏感信息,如用戶輸入的密碼或加密錢包地址會自動傳遞給黑客。反向代理也會在網(wǎng)站提示要求用戶提供2FA令牌,黑客就可以實(shí)時(shí)收集這些2FA令牌,來訪問受害者的賬戶。

除此之外,沃爾什也完全不相信免費(fèi)和簡易的HTTPS證書是一件好事。

在他看來,大量使用自動發(fā)放的免費(fèi)DV證書的網(wǎng)絡(luò)攻擊已經(jīng)削弱了互聯(lián)網(wǎng)的可信計(jì)算基礎(chǔ)(TCB)。免費(fèi)DV證書對網(wǎng)絡(luò)安全是一種生存威脅。

沃爾什認(rèn)為:

  • CA應(yīng)該收緊他們的身份驗(yàn)證過程;
  • CA應(yīng)該減少獲取身份驗(yàn)證的成本、時(shí)間和精力;
  • 谷歌應(yīng)該為瀏覽器工具欄設(shè)計(jì)一個有意義的身份驗(yàn)證圖標(biāo)區(qū)別于掛鎖;
  • 谷歌應(yīng)該改善用戶體驗(yàn),使網(wǎng)站的真實(shí)身份能夠被直觀地顯示出來。

只有這樣,網(wǎng)絡(luò)才會走上真正安全的道路。

來源:zdnet

 

責(zé)任編輯:趙寧寧 來源: FreeBuf
Chrome網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全
相關(guān)推薦

2013-04-23 10:27:40

Chrome瀏覽器

2022-05-23 10:14:52

Deepfake人工智能

2012-06-14 09:36:36

頂級域名域名

2014-04-21 10:24:06

2022-01-04 21:56:03

網(wǎng)絡(luò)安全量子計(jì)算機(jī)技術(shù)

2020-05-27 09:25:47

安全防御Windows

2010-01-10 17:50:17

2021-05-17 14:19:50

Chrome瀏覽器網(wǎng)頁同步

2010-03-23 11:25:53

2021-03-25 14:48:29

Chrome谷歌HTTPS

2021-03-26 10:13:51

HTTPSChrome網(wǎng)絡(luò)攻擊

2011-08-12 15:51:02

刀片服務(wù)器優(yōu)點(diǎn)缺點(diǎn)

2009-05-26 09:20:06

GoogleChrome瀏覽器

2020-05-15 09:20:35

瀏覽器 Chrome Google

2021-04-22 05:39:33

微軟Edge瀏覽器

2012-11-01 13:14:26

2009-05-08 09:08:12

2020-11-01 16:58:13

瀏覽器緩存

2010-03-23 09:33:10

2010-01-28 10:13:43

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號