在HTTPS中檢測到大量漏洞

根據研究，令人震驚的網絡頂級HTTPS站點有可利用的TLS漏洞。TLS代表傳輸層安全性，它是一種Web瀏覽器防御，可以對瀏覽器與其通信的Web服務器之間的數(shù)據進行加密，以保護您的旅行計劃，密碼和搜索歷史記錄。這是通過Web瀏覽器搜索欄開頭的綠色掛鎖來表示的。

然而，根據Ca'Foscari大學和奧地利Tu Wien的研究團隊的數(shù)據，令人驚訝的加密網站數(shù)量仍然暴露出來。這些團隊分析了亞馬遜Alexa分析公司排名的網站前10,000個HTTPs網站，發(fā)現(xiàn)5.5%的網站存在潛在可利用的TLS漏洞。

這些問題是由每個站點實現(xiàn)TLS加密方案的方式和未能修補已知錯誤的問題組合而引起的。但最令人不安的是，它們足夠小，綠色掛鎖仍會出現(xiàn)。

“我們在論文中假設瀏覽器是最新的，但我們發(fā)現(xiàn)的東西并沒有被瀏覽器發(fā)現(xiàn)，”Ca'Foscari大學網絡安全和密碼學研究員Riccardo Focardi說。“這些都是未修復的問題，甚至沒有被發(fā)現(xiàn)。我們希望通過用戶方尚未指出的網站TLS來識別這些問題。”

Focardi和他的研究人員將在5月的IEEE安全和隱私研討會上展示他們的全部發(fā)現(xiàn)。他們開發(fā)了TLS分析技術，并使用現(xiàn)有的加密文獻中的一些技術來抓取和審查前10,000個站點的TLS問題。

研究人員在5,574臺主機中發(fā)現(xiàn)了TLS漏洞并將其分解為4,818，易受MITM攻擊，733對完全解密，912對部分解密。MITM代表“中間人”攻擊，受害者與另一個站點的通信被第三方攔截，中間有人攔截。

另外兩個類別涉及瀏覽器和Web服務器之間更加嚴重的加密通道，使黑客能夠解密通過它們的所有流量。這些最糟糕的變化是“受污染”的頻道，它允許黑客不僅解密流量而且還修改和/或操縱它。