有时,我们刷着微博,浏览新闻,突然冒出来一波“各种平台的红包”、“真人侍宠”最反感的就是各种大保健肾虚等广告;想下载一些应用软件时,无论是手机端还是 PC 端,下载到本地后都会变成了UC、2345、瑞星杀毒;打开A站,莫名其妙的跳转到B站,甚至跳转到色情网站,其实基本上都是“黑五类广告”。单纯的你可能以为自己电脑中毒了,并不是,只是你的流量被劫持了而已。
就在上个月,7月18号,国内知名大型门户网站惨遭毒手被劫持,原本访问新闻首页自动跳转到赌博网站。这还不算什么,闹得最大的还是去年的5月10日晚上,国字号某App遭流量劫持。该App的某H5页面被植入色情内容广告,排查后“基本确定为用户当地运营商http劫持所导致H5页面被插入广告……”
导致流量劫持的重要原因是http明文传输协议的缺陷,因为中间内容劫持的利益非常巨大,所以用户隐私泄露的风险非常高。http协议没法做到加密数据,所有通信数据都在互联网中明文“裸奔”。通过网络的嗅探设备和一些技术手段,就可还原http报文内容。
通过以下四点,你可以感受到它的危害:
1、http易造成在线应用被劫持
在线使用的 WebApp,流量里既有通信数据,又有程序的界面和代码,想劫持简直手到擒来。因此,网页流量劫持受到各路黑客们的热衷,一种可在任意网页发起 XSS 的入侵方式。
2、公共场合使用http,你不登陆也会被劫持
在自己的电脑上,大家基本上都是记住密码和账号,想着反正只有自己用,也没什么要紧的。但是,在被劫持的网络里,即使浏览非常不起眼的网页,这时一个悄无声息的间谍脚本可能已暗藏其中,正偷偷访问你那登录着或者保存状态的网页,操控起你的账号了。
3、http状态下,Cookie 记录或浏览器自动填表单,这都能导致账号密码被截取
http状态下,因为cookie记录的都是明文的账号密码,遭到劫持泄露后,哪怕数量不多,也能通过社工获取到用户的更多信息,最终造成更为严重的泄露。
4、http 缓存投毒
对于http这种简单到极致的纯文本协议,还真没有哪种签名机制,来验证内容的真实性。就算页面被篡改,浏览器也无法得知,乃至连同注入的脚本也一起缓存。凡是具备可执行的资源,都可以通过预加载带毒的版本,将其提前缓存起来。
对于企业而言,选择切换到httpS是当下最正确最主流的手段,再从密码学的层面来说,使用了 SSL 加密的数据确实难以破解,更别说是修改了。
以安全为目的的http通道, httpS被认为是http的安全版,即在应用层又加了SSL协议,会对数据进行全面加密。在数据传输的过程中提供身份验证与数据加密通讯举措,那运营商劫持的乱象就可以完全被杜绝。
这和简单的 http 代理并不相同,httpS 得权威的CA机构认可颁发的证书才算有效。对于自己随意签发的证书,显然是没有说服力的,httpS 的客户端会因此怀疑。当遇到“此网站安全证书存在问题”的预警时,很多用户不明白是什么意思,随意就点了继续,从而导致允许黑客的伪证书,httpS 流量因此遭到劫持。
所以账户网站以后遇到这种情况,不管怎样都不要点击继续,否则你家大门钥匙就相当于双手俸给黑客。
全站httpS的重要性
情况一:从http页面跳转访问httpS页面
现实中,从 PC 端上网基本上是不可能进入https网站的。拿支付宝网站来说,大多都是从淘宝网站跳转过来,假设淘宝使用的是不安全的 http 协议的话。再在淘宝网的页面里注入 XSS,最后再屏蔽跳转到 httpS 的页面访问,用 http 取而代之,结果就是用户永远无法进入安全站点了。
就算地址栏里没有出现httpS 的绿色字样,但至少域名看起来是正确的,用户都会认为不是钓鱼网站,因此也就忽略了。
由此,我们得到的结论是,只要入口页面是危险的的,那么之后的页面再安全也无济于事。
情况二:http页面重定向到httpS页面
有些用户自己通过输入网址访问,他们输入了 http://www.alipaly.com 之后就敲回车进入。但是,浏览器不会知道这是一个 httpS 的站点,所以就默认的使用 http 去访问。这个 http 版的支付宝也确实有,但它唯一功能就是重定向到自己 httpS 站点上。
劫持流量的中间人一旦发现有重定向到 httpS 站点的,会立即拦下重定向的指令,接着自己去获取重定向以后的站点内容,最后再回复给用户。这样一来,用户自始至终都是在 http 站点上访问,也就自然可以无限劫持了。
国外很多知名的网站(PayPal、Twitter、Facebook、Gmail,Hotmail等)都通过全站httpS技术举措来保护用户机密信息和交易安全,防止会话攻击和中间人攻击。我们国内厂商现在也在这方面诸多努力,支付宝是我国比较早支持全站httpS的网站,淘宝网最初显示在登录、结算、订单等页面加密,最后升级为全站加密。百度等互联网巨头也陆续完成了全站httpS部署。
你想被用户抛弃吗?
那就赶紧升级httpS对流量劫持Say No!
针对部署升级httpS加密的技术难点和申请证书的繁琐流程,铭普科技提供全球可信的SSL证书(EV SSL证书、OV SSL证书、 DV SSL证书),拥有基于MPKI证书管理、全站加密解决方案、MySSL安全评估等网络安全解决方案,聚焦网络传输安全,铭普科技为您提供全方位的7*24小时全天候技术支持服务,我们专业的团队为您做到安全与极速的平衡。助您轻松无忧升级httpS加密!
特别声明:以上文章内容仅代表作者本人观点,不代表变化吧观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。
- 赞助本站
- 微信扫一扫
- 加入Q群
- QQ扫一扫
评论