最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 更好还是更坏?Chrome浏览器新默认安全策略的两面性

    Chrome 90开始,用户将会被自动引导到任何网站的安全版本。这听上去很好,但它或许并不像我们想象的那么好。

    HTTPS也可能保护钓鱼网站

    Chrome新版本的好处显而易见。在新版本中,Chrome浏览器将默认尝试加载经过传输层安全(TLS)保护的网站版本。这些网站在Chrome Omnibox中显示出一个封闭的锁,也就是我们大多数人所熟知的Chrome地址(URL)栏。但坏消息是,一个网站如果仅仅因为被HTTPS保护就完全信任它,是不合理的。

    数年前,知名WordPress安全公司WordFence发现,证书颁发机构(CA)向冒充其他网站的钓鱼网站颁发了SSL证书。因为这些证书是有效的,所以即使它们是钓鱼网站,Chrome仍然会将这些网站报告为安全的网站。

    当然,CA不应该向这些虚假网站办法证书,然而事件已经发生了,往者不可谏。据悉,这个名为Let\'s Encrypt的免费CA,曾被用来为非法使用 "PayPal "作为其名称一部分的钓鱼网站创建数千张SSL证书。

    此外,零信任安全公司MetaCert的创始人兼首席执行官、万维网联盟(W3C)URL分类标准的联合创始人保罗·沃尔什认为,如果认为仅靠HTTPS就足以保证互联网连接的安全,将会产生很多问题。

    "当基于DNS的安全服务刚推出时,大多数网络都没有加密,黑客也没有使用谷歌、微软、GitHub等可信的域名,所以它们在过去是有效的,但在今天就不那么有效了。"

    在今天,82.2%的网站已经被HTTPS保护。

    理论上的巨人,行为上的矮子

    除了上述存在的客观情况,沃尔什认为谷歌的执行力也是一个问题。

    他认为,谷歌是理论上的巨人,行动上的矮子。他在分析网站安全时发现,基本的URL挂锁是为了告诉用户他们与网站的链接是加密的。但是,一个挂锁并不代表任何信任或身份的信息。Chrome的UI设计师应该让网站身份更加明显,比如在工具栏上设置一个单独的图标来与挂锁区别开。

    换句话说,谷歌现在的设计,可以让用户“安全”地进入一个钓鱼网站,这样的安全性不过是徒有其表罢了。

    这种情况的发生不仅仅是因为那些拥有真实HTTPS证书的虚假网站。

    Modlishka攻击会在用户和其想访问的网站之间创建一个反向代理。它使用户以为自己连接到了真实的网站,因为可以从合法的网站获得真实的内容,但反向代理默默地将用户所有的流量重定向到Modlishka服务器。

    这样就导致了,用户的凭证和敏感信息,如用户输入的密码或加密钱包地址会自动传递给黑客。反向代理也会在网站提示要求用户提供2FA令牌,黑客就可以实时收集这些2FA令牌,来访问受害者的账户。

    除此之外,沃尔什也完全不相信免费和简易的HTTPS证书是一件好事。

    在他看来,大量使用自动发放的免费DV证书的网络攻击已经削弱了互联网的可信计算基础(TCB)。免费DV证书对网络安全是一种生存威胁。

    沃尔什认为:

    • CA应该收紧他们的身份验证过程;
    • CA应该减少获取身份验证的成本、时间和精力;
    • 谷歌应该为浏览器工具栏设计一个有意义的身份验证图标区别于挂锁;
    • 谷歌应该改善用户体验,使网站的真实身份能够被直观地显示出来。

    只有这样,网络才会走上真正安全的道路。

    来源:zdnet

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 更好还是更坏?Chrome浏览器新默认安全策略的两面性

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 1002会员总数(位)
    • 40233资源总数(个)
    • 43本周发布(个)
    • 42 今日发布(个)
    • 377稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情