Https一定安全嗎?
也許曾經有人建議你所有安全連線都有綠色掛鎖圖示,訪問這些有綠色掛鎖的連結可以避免網路釣魚和惡意軟體攻擊。然而,這條建議現在已經無效了。新的研究表明近一半的網路釣魚站點現在都部署了安全套接字層(SLL)保護,並在瀏覽器導航欄中設定了掛鎖圖示,試圖給人們一種虛假的安全感。
來自反網路釣魚公司PhishLabs的最新資料顯示,2018年第三季度49%的網路釣魚站點都在瀏覽器位址列中顯示有掛鎖圖示。這與一年前的25%和2018年第二季度的35%相比有所上升。 這種轉變令人擔憂,因為大多數網際網路使用者已經對文章開頭的建議深信不疑,並將掛鎖圖示與合法網站聯絡在一起。PhishLabs去年進行的一項調查發現,超過80%的受訪者認為掛鎖表明網站是合法且安全的。 事實上,地址的https://部分(也稱為安全套接字層或SSL)僅僅表明在您的瀏覽器與站點之間傳輸的資料是安全並隱密的,無法被第三方讀取。有掛鎖圖示並不意味著該網站是合法的,也無法保證該網站不會被駭客攻擊 。
網路釣魚者對SSL的迅速普及是欺詐者從合法網站獲取新的攻擊思路的一個很好的例子。 “PhishLabs認為這可歸因於Google Chrome瀏覽器現在對那些不使用SSL的網站顯示“不安全”,這促使網路釣魚者使用SSL證書、註冊域名併為建立證書。”該公司技術長John LaCour說。“最重要的是,有沒有SSL並不能告訴使用者網站是否合法、安全。” 主要的Web瀏覽器製造商與許多安全組織合作索引和阻止新的網路釣魚站點,將網路釣魚頁面標記出來,還會提供明亮的紅色警告頁面阻止人們訪問這些站點。但並非所有網路釣魚都迅速地被標記。 研究人員花了幾分鐘瀏覽了一個使用SSL的網路釣魚站點,發現這個設計巧妙的頁面試圖從加密貨幣交易所Bibox的使用者那裡獲取憑證。
在Google Chrome瀏覽器中載入該網址[.]com/login,會收到一個紅色的“即將前往欺騙性網站”的警告。而在Mozilla Firefox上載入上面的地址——稱為“punycode”——則不會有任何警告,至少在撰寫本文時沒有。 該網路釣魚網站利用國際化域名(IDN)來混淆視聽,Bibox.com中的“i”被渲染為越南字元“ỉ”,這在URL位址列中很難區分。 正如KrebsOnSecurity在三月份指出的那樣,Chrome、Safari以及Microsoft最新版本的Explorer和Edge瀏覽器都會呈現出IDN原本的樣子,而Firefox卻會在位址列中將程式碼轉換為外觀相似的域。 如果您是Firefox(或Tor)使用者,並且希望Firefox在瀏覽器位址列中始終顯示IDN原本的樣子,請在Firefox位址列中鍵入“about:config”,不帶引號。
然後在搜尋框中輸入“punycode”,你可以看到一到兩個選項,需要更改的叫做“network.IDN_show_punycode。”在預設情況下,它被設定為“false”; 雙擊該條目將該設定更改為“true”。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2286744/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 用 HTTPS 安全嗎?HTTPS 的原理是啥?HTTP
- https 真的安全嗎,可以抓包嗎,如何防止抓包嗎HTTP
- SimpleDateFormat一定是執行緒不安全嗎?ORM執行緒
- C# 中 ConcurrentDictionary 一定執行緒安全嗎?C#執行緒
- 無卡號就一定安全嗎?Apple Card同樣存在克隆風險APP
- HTTPS 你瞭解了嗎?HTTP
- Low-Code,一定“low”嗎?
- [安全] HTTPS的理解HTTP
- HTTPS安全最佳實踐HTTP
- https 如何做到安全HTTP
- HTTPS最佳安全實踐HTTP
- Https及其安全性HTTP
- 為什麼說HTTPS比HTTP安全? HTTPS是如何保證安全的?HTTP
- 部署HTTPS證書有必要嗎?HTTP
- MySQL 聚簇索引一定是主鍵嗎MySql索引
- 後端 API 一定要返回 JSON 嗎?後端APIJSON
- java finally一定會執行嗎Java
- 確保web安全的HTTPSWebHTTP
- https安全傳輸揭祕HTTP
- ConcurrentHashMap一定執行緒安全?HashMap執行緒
- HTTP與HTTPS:為什麼HTTPS比HTTP更安全?HTTP
- MySQL 使用 like "%x",索引一定會失效嗎?MySql索引
- 線上問題之慢Sql一定是Sql慢嗎SQL
- 抖音要檢測報告一定要做嗎
- domain event 一定是過去式的event嗎AI
- 更安全的Web通訊HTTPSWebHTTP
- HSTS 詳解,讓 HTTPS 更安全HTTP
- HTTPS:網路安全攻堅戰HTTP
- HTTPS的安全通訊機制HTTP
- https提供安全的web通訊HTTPWeb
- 學Python一定要掌握Linux系統嗎?PythonLinux
- AIRCHECK G2一定要配合天線使用嗎AI
- 虛擬機器一定要安裝Linux嗎?虛擬機Linux
- HTTPS可以預防駭客篡改內容嗎?HTTP
- 你的網站還沒用上 HTTPS 嗎網站HTTP
- HTTPS的SSL協議速度慢嗎❓HTTP協議
- HTTPS 難道不是大勢所趨嗎?HTTP
- 為什麼 HTTPS 比 HTTP 更安全?HTTP