登录 注册

用上https就一定安全了吗?

原创未经同意,请勿转载多零程序猿2021-06-10

我敢保证一些懂ssl原理的技术宅看到这个标题首先会火冒三分,心想竟敢质疑https的安全性,然后大概率会点击进来,跑个流程快速粗略看一遍文章内容,但这不是重点,重点是想找到文章最下方的评论区发表一番观点回击:https没有安全问题!为什么我如此清楚,因为多零程序猿从前也是那个少年。

职业病发作,贴上两张ssl流程原理图,但是多零程序猿并不打算介绍ssl的原理,有兴趣的朋友可以网络搜索一番。 无可否认,从ssl原理来看,确实找不出漏洞,也无法破解,也确实目前https是主流趋势,越来越多网站都装上ssl,搞网络窃听的从业人员也就越来越难混。ssl主要考虑是数据传输安全,解决数据传输过程中数据被窃取的问题。也确实ssl中数据的加密和解密是整个ssl体系中最坚固城墙。所以,很多技术牛人才会坚定地拥护https。 然而,避其锐气,击其惰归,机智的黑客们会这样想:为何要硬碰硬专攻加解密这座城墙呢,找出ssl的薄弱环节实施攻击会不会效率更高?有这种想法的黑客们,不会从上面那两张图中寻找攻击方法。以下就讲述ssl一些薄弱环节,也是使用ssl需要注意的一些地方,需要加固的地方。

1,中间人攻击

中间人攻击是黑客们在用户和真正服务器中间伪造一个服务器,从中转发数据,就可以顺利获取数据和篡改数据。 为了不被中间人攻击,有朋友可能这样做:关闭80端口(http),只开启443(https),增加Strict-Transport-Security、30X转跳、js判断转跳等。 30X转跳、js判断转跳等方式并没有明显的防御效果,中间服务接收的是http,转发给真正服务器的是https,服务端无法判断是否应该使用30X转跳、js转跳,而且中间服务器完全可以过滤或者替换转跳的报文内容。 Strict-Transport-Security效果较明显,浏览自动判断自动转跳到https,但Strict-Transport-Security也有短板,中间服务器也可以过滤掉Strict-Transport-Security,而且旧版浏览器不支持,再而且是基于缓存后才生效。 如果用户清空缓存或首次访问,也刚好访问不带s的http,那么中间人攻击的条件就成立了。可怕的是,这种情况,现在还没有可行的防御方法。

2,dns与ssl证书

无法理解,dns到现在还是明文传输的!明文传输!明文!(有可能是为了性能的考虑)也就是无论你访问的是http还是https,dns服务器返回的都是明文的ip地址,经常听到的dns污染,就是网络窃取到dns的明文ip,再篡改为有恶意的ip,例如你想访问baidu.com,dns本应该告诉你baidu.com的服务器在39.156.69.**,但黑客们却篡改为66.66.66.**,然后你就顺利地访问了黑客的服务器。虽然DNSCrypt有意识地对dns加签名防篡改,但依然无法解决最后一站的DNS攻击,即递归DNS服务器到用户电脑依然是明文ip。

dns明文,跟https攻击有什么关系? 没有关系!就算dns污染了,在验证ssl证书这一步就被中断了,因为黑客服务器上根本没有ssl证书,无法取得用户浏览器的信任。 那么,然而,但是,如果黑客们拥有了ssl证书呢?!情况就完全改变了,拥有ssl就能局部小规模中间人攻击。拥有ssl再加上dns污染,就能够大规模实施中间人攻击。 黑客们怎么才能拥有ssl证书? 目前绝大部分国内用户,都在使用国外的ca机构颂发的ssl证书!问题在于:如果国外的ca机构人品不好,或者他们的数据安全防御做得不好,那么dns+ssl大规模中间人攻击条件就成立了。

-------------------

多零程序猿建议,对于数据安全非常敏感的网站(例如银行网站),需要开发浏览器插件,在插件中判断域名对应的ip是否正常,这是有效防御dns污染的方法。

3,https嵌入http

此前一段很长的时间,https网页中是可以混入http资源的,例如https打开的网页,可以外链插入一张http的图片。这其中的风险在于,黑客们通过篡改http的明文资源文件,例如插入一段js代码,加载到https网页,那么整个https网页数据都可以通过js代码获取到。不过,现在新版的浏览器已经堵上这个漏洞了,但是旧版的浏览器依然存在问题。所以建议大家尽量使用新版的浏览器,多零也不再支持旧版浏览器访问。

关于安全的问题,多零程序猿还有很多话题,不过时间精力有限,这次分享到此为止。 虽然多零是做二维码网页的,但多零程序猿依然忍不住分享一些技术文章,如果对我们有什么疑问,给我留言admin@y56y.com或者狂点这里

最新文章 用上https就一定安全了吗?多零已增加多款字体效果组件2021-06-08 多零更新记录2021-06-05 多零更新记录真有必要搞个EV型SSL吗?如何使用多零设计制作二维码网页2021-05-28 更新记录2021-05-25 更新记录如何安全地使用网络图片而无版权风险多零的组件架构已整合H5的Canvas如何让二维码具有密码访问功能?2021-05-22 更新记录为什么Q免二维码终止服务如何制作英文版的二维码名片【科普二维码】如何把一头大象放进二维码