Https一定安全嗎?
也許曾經有人建議你所有安全連線都有綠色掛鎖圖示,訪問這些有綠色掛鎖的連結可以避免網路釣魚和惡意軟體攻擊。然而,這條建議現在已經無效了。新的研究表明近一半的網路釣魚站點現在都部署了安全套接字層(SLL)保護,並在瀏覽器導航欄中設定了掛鎖圖示,試圖給人們一種虛假的安全感。
來自反網路釣魚公司PhishLabs的最新資料顯示,2018年第三季度49%的網路釣魚站點都在瀏覽器位址列中顯示有掛鎖圖示。這與一年前的25%和2018年第二季度的35%相比有所上升。 這種轉變令人擔憂,因為大多數網際網路使用者已經對文章開頭的建議深信不疑,並將掛鎖圖示與合法網站聯絡在一起。PhishLabs去年進行的一項調查發現,超過80%的受訪者認為掛鎖表明網站是合法且安全的。 事實上,地址的https://部分(也稱為安全套接字層或SSL)僅僅表明在您的瀏覽器與站點之間傳輸的資料是安全並隱密的,無法被第三方讀取。有掛鎖圖示並不意味著該網站是合法的,也無法保證該網站不會被黑客攻擊 。
網路釣魚者對SSL的迅速普及是欺詐者從合法網站獲取新的攻擊思路的一個很好的例子。 “PhishLabs認為這可歸因於Google Chrome瀏覽器現在對那些不使用SSL的網站顯示“不安全”,這促使網路釣魚者使用SSL證書、註冊域名併為建立證書。”該公司技術長John LaCour說。“最重要的是,有沒有SSL並不能告訴使用者網站是否合法、安全。” 主要的Web瀏覽器製造商與許多安全組織合作索引和阻止新的網路釣魚站點,將網路釣魚頁面標記出來,還會提供明亮的紅色警告頁面阻止人們訪問這些站點。但並非所有網路釣魚都迅速地被標記。 研究人員花了幾分鐘瀏覽了一個使用SSL的網路釣魚站點,發現這個設計巧妙的頁面試圖從加密貨幣交易所Bibox的使用者那裡獲取憑證。
在Google Chrome瀏覽器中載入該網址https://www.xn--bbox-vw5a[.]com/login,會收到一個紅色的“即將前往欺騙性網站”的警告。而在Mozilla Firefox上載入上面的地址——稱為“punycode”——則不會有任何警告,至少在撰寫本文時沒有。 該網路釣魚網站利用國際化域名(IDN)來混淆視聽,Bibox.com中的“i”被渲染為越南字元“ỉ”,這在URL位址列中很難區分。 正如KrebsOnSecurity在三月份指出的那樣,Chrome、Safari以及Microsoft最新版本的Explorer和Edge瀏覽器都會呈現出IDN原本的樣子,而Firefox卻會在位址列中將程式碼轉換為外觀相似的域。 如果您是Firefox(或Tor)使用者,並且希望Firefox在瀏覽器位址列中始終顯示IDN原本的樣子,請在Firefox位址列中鍵入“about:config”,不帶引號。
然後在搜尋框中輸入“punycode”,你可以看到一到兩個選項,需要更改的叫做“network.IDN_show_punycode。”在預設情況下,它被設定為“false”; 雙擊該條目將該設定更改為“true”。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2286744/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 用 HTTPS 安全嗎?HTTPS 的原理是啥?HTTP
- https 真的安全嗎,可以抓包嗎,如何防止抓包嗎HTTP
- SimpleDateFormat一定是執行緒不安全嗎?ORM執行緒
- GDPR正式生效!合規就一定是安全的嗎?
- C# 中 ConcurrentDictionary 一定執行緒安全嗎?C#執行緒
- [安全] HTTPS的理解HTTP
- HTTPS 你瞭解了嗎?HTTP
- 無卡號就一定安全嗎?Apple Card同樣存在克隆風險APP
- https 如何做到安全HTTP
- HTTPS安全最佳實踐HTTP
- 為什麼說HTTPS比HTTP安全? HTTPS是如何保證安全的?HTTP
- Low-Code,一定“low”嗎?
- HTTP與HTTPS:為什麼HTTPS比HTTP更安全?HTTP
- 部署HTTPS證書有必要嗎?HTTP
- 確保web安全的HTTPSWebHTTP
- https安全傳輸揭祕HTTP
- 後端 API 一定要返回 JSON 嗎?後端APIJSON
- java finally一定會執行嗎Java
- ConcurrentHashMap一定執行緒安全?HashMap執行緒
- 更安全的Web通訊HTTPSWebHTTP
- HSTS 詳解,讓 HTTPS 更安全HTTP
- HTTPS的安全通訊機制HTTP
- Android安全加密:HTTPS程式設計Android加密HTTP程式設計
- HTTPS:網路安全攻堅戰HTTP
- 學Python一定要掌握Linux系統嗎?PythonLinux
- MySQL 聚簇索引一定是主鍵嗎MySql索引
- 你的網站還沒用上 HTTPS 嗎網站HTTP
- HTTPS的SSL協議速度慢嗎❓HTTP協議
- 【HenCoder】HTTPS 為什麼是安全的HTTP
- 為什麼 HTTPS 比 HTTP 更安全?HTTP
- 為什麼說 HTTPS 是安全的?HTTP
- MySQL 使用 like "%x",索引一定會失效嗎?MySql索引
- 虛擬機器一定要安裝Linux嗎?虛擬機Linux
- http與https的區別我真的知道嗎HTTP
- HTTPS可以預防駭客篡改內容嗎?HTTP
- HTTPS 是如何進行安全傳輸的 ?HTTP
- 理解https中的安全及其實現原理HTTP
- HTTPS 如何保證資料傳輸安全HTTP