日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
更好還是更壞?Chrome瀏覽器新默認(rèn)安全策略的兩面性

從Chrome 90開始,用戶將會被自動引導(dǎo)到任何網(wǎng)站的安全版本。這聽上去很好,但它或許并不像我們想象的那么好。

網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè)介紹好的網(wǎng)站是理念、設(shè)計和技術(shù)的結(jié)合。成都創(chuàng)新互聯(lián)公司擁有的網(wǎng)站設(shè)計理念、多方位的設(shè)計風(fēng)格、經(jīng)驗豐富的設(shè)計團(tuán)隊。提供PC端+手機(jī)端網(wǎng)站建設(shè),用營銷思維進(jìn)行網(wǎng)站設(shè)計、采用先進(jìn)技術(shù)開源代碼、注重用戶體驗與SEO基礎(chǔ),將技術(shù)與創(chuàng)意整合到網(wǎng)站之中,以契合客戶的方式做到創(chuàng)意性的視覺化效果。

HTTPS也可能保護(hù)釣魚網(wǎng)站

Chrome新版本的好處顯而易見。在新版本中,Chrome瀏覽器將默認(rèn)嘗試加載經(jīng)過傳輸層安全(TLS)保護(hù)的網(wǎng)站版本。這些網(wǎng)站在Chrome Omnibox中顯示出一個封閉的鎖,也就是我們大多數(shù)人所熟知的Chrome地址(URL)欄。但壞消息是,一個網(wǎng)站如果僅僅因為被HTTPS保護(hù)就完全信任它,是不合理的。

數(shù)年前,知名WordPress安全公司W(wǎng)ordFence發(fā)現(xiàn),證書頒發(fā)機(jī)構(gòu)(CA)向冒充其他網(wǎng)站的釣魚網(wǎng)站頒發(fā)了SSL證書。因為這些證書是有效的,所以即使它們是釣魚網(wǎng)站,Chrome仍然會將這些網(wǎng)站報告為安全的網(wǎng)站。

當(dāng)然,CA不應(yīng)該向這些虛假網(wǎng)站辦法證書,然而事件已經(jīng)發(fā)生了,往者不可諫。據(jù)悉,這個名為Let's Encrypt的免費(fèi)CA,曾被用來為非法使用 "PayPal "作為其名稱一部分的釣魚網(wǎng)站創(chuàng)建數(shù)千張SSL證書。

此外,零信任安全公司MetaCert的創(chuàng)始人兼首席執(zhí)行官、萬維網(wǎng)聯(lián)盟(W3C)URL分類標(biāo)準(zhǔn)的聯(lián)合創(chuàng)始人保羅·沃爾什認(rèn)為,如果認(rèn)為僅靠HTTPS就足以保證互聯(lián)網(wǎng)連接的安全,將會產(chǎn)生很多問題。

"當(dāng)基于DNS的安全服務(wù)剛推出時,大多數(shù)網(wǎng)絡(luò)都沒有加密,黑客也沒有使用谷歌、微軟、GitHub等可信的域名,所以它們在過去是有效的,但在今天就不那么有效了。"

在今天,82.2%的網(wǎng)站已經(jīng)被HTTPS保護(hù)。

理論上的巨人,行為上的矮子

除了上述存在的客觀情況,沃爾什認(rèn)為谷歌的執(zhí)行力也是一個問題。

他認(rèn)為,谷歌是理論上的巨人,行動上的矮子。他在分析網(wǎng)站安全時發(fā)現(xiàn),基本的URL掛鎖是為了告訴用戶他們與網(wǎng)站的鏈接是加密的。但是,一個掛鎖并不代表任何信任或身份的信息。Chrome的UI設(shè)計師應(yīng)該讓網(wǎng)站身份更加明顯,比如在工具欄上設(shè)置一個單獨(dú)的圖標(biāo)來與掛鎖區(qū)別開。

換句話說,谷歌現(xiàn)在的設(shè)計,可以讓用戶“安全”地進(jìn)入一個釣魚網(wǎng)站,這樣的安全性不過是徒有其表罷了。

這種情況的發(fā)生不僅僅是因為那些擁有真實(shí)HTTPS證書的虛假網(wǎng)站。

Modlishka攻擊會在用戶和其想訪問的網(wǎng)站之間創(chuàng)建一個反向代理。它使用戶以為自己連接到了真實(shí)的網(wǎng)站,因為可以從合法的網(wǎng)站獲得真實(shí)的內(nèi)容,但反向代理默默地將用戶所有的流量重定向到Modlishka服務(wù)器。

這樣就導(dǎo)致了,用戶的憑證和敏感信息,如用戶輸入的密碼或加密錢包地址會自動傳遞給黑客。反向代理也會在網(wǎng)站提示要求用戶提供2FA令牌,黑客就可以實(shí)時收集這些2FA令牌,來訪問受害者的賬戶。

除此之外,沃爾什也完全不相信免費(fèi)和簡易的HTTPS證書是一件好事。

在他看來,大量使用自動發(fā)放的免費(fèi)DV證書的網(wǎng)絡(luò)攻擊已經(jīng)削弱了互聯(lián)網(wǎng)的可信計算基礎(chǔ)(TCB)。免費(fèi)DV證書對網(wǎng)絡(luò)安全是一種生存威脅。

沃爾什認(rèn)為:

  • CA應(yīng)該收緊他們的身份驗證過程;
  • CA應(yīng)該減少獲取身份驗證的成本、時間和精力;
  • 谷歌應(yīng)該為瀏覽器工具欄設(shè)計一個有意義的身份驗證圖標(biāo)區(qū)別于掛鎖;
  • 谷歌應(yīng)該改善用戶體驗,使網(wǎng)站的真實(shí)身份能夠被直觀地顯示出來。

只有這樣,網(wǎng)絡(luò)才會走上真正安全的道路。

來源:zdnet


文章題目:更好還是更壞?Chrome瀏覽器新默認(rèn)安全策略的兩面性
轉(zhuǎn)載注明:http://www.5511xx.com/article/dhdoggh.html