分析针对HTTPS浏览器会话的攻击

对HTTPS浏览器会话攻击的分析 关于SSL网站的好消息是，大多数SSL网站都运行着强大的加密算法。坏消息是，超过60%的网站配置很差。Qualysenterprise的工程项目、网络技术应用流程、防火防雨、SSL负责人兼兼职人员IvanRistic发布了其1.2亿域名注册的科研成果。Ristic发现，有2000万个域名注册了SSL，其中只有72万个可能包含合理的SSL证书。“这是一个非常小的比例，但就大家所知，这并不意味着只有一小部分网站在使用SSL，”Ristic说。更有甚者，所有SSL网站中有一半以上都在使用SSLv2，这是SSL的老版本，不安全。只有38%的SSL网站配置良好，其中32%的网站在协议中包含了之前暴露的重新协商系统的漏洞。此外，科学研究人员罗伯特·汉森和乔希·索科尔详细描述了24种在计算机浏览器中使用HTTPS/SSL的技术，使用中间人攻击。包括:cookie投毒，在电脑浏览器logo中引入故意内容。科学研究人员警告说，HTTPS不能确保计算机浏览器的安全性和一致性。“天没有塌下来，但在现阶段，SSL是非常敏感的，”汉森在白帽黑客交流会上说。“必须有适当的标志保护，cookie沙盒游戏等。他强烈建议使用独立的电脑浏览器浏览包含敏感信息的网站。此外，Ristic表明，虽然SSL网站在安全性方面的情况“一般”，但如今SSL很少受到网络攻击。“我不认为SSL是如今攻击空之间的通用载体。既然有很多更容易被攻击的目标，我们现在就应该逐步修复SSL的问题。这是一个可以解决的问题。"三分之二的SSL网站使用默认设置，这使得它们非常容易受到攻击."为了更好地处理这个问题，你应该保持警惕，与终端用户或经销商沟通，看看你是否可以完成更强的配置，这可能是更可行的解决方案，”Ristic说。例如，在SSL网络服务器中应用不安全协议的默认设置是一个常见且不正确的问题。“配置SSL网络服务器，选择资质证书密钥规范，禁止使用不安全协议，禁止使用不安全登录密码，只需要15分钟。不安全的SSLv2非常容易受到中间人攻击。虽然这个版本号SSL在大多数主流浏览器中早已被禁止，但它仍然在运营着很多SSL网站。“最可悲的是，超过一半的SSL网站应用SSL2。两年了，大家都知道不安全。“然而，他发现在SSL网站上，很少有或不兼容更安全的TLS1.1和1.2协议。然而，调查发现，大多数SSL网站使用强加密算法，128位甚至更高。总的来说，Ristic显示，在安全性和配置方面，只有38.4%的SSL网站可以获得A，而只有61.46%的网站可以获得B或更低。Ristic计划发布本次调查的所有数据信息，并计划每年进行一次调查。