網(wǎng)站使用HPPTS可避免99%中間人攻擊����!
近日�����,一則“WiFi爆出重大安全漏洞��,幾乎影響所有無線設(shè)備”的新聞瞬間登上微博熱搜��,引起了廣泛的關(guān)注�!
當(dāng)我們在談?wù)揥iFi漏洞的時候,我們在談?wù)撌裁矗?/p>
16日晚���,研究人員在WPA/WPA2加密協(xié)議中發(fā)現(xiàn)并曝光了名為“Key Reinstallation Attack“(密鑰重裝攻擊)簡稱“KRACK”的漏洞�����,黑客可以利用該漏洞監(jiān)聽到通過接入WiFi網(wǎng)絡(luò)設(shè)備進(jìn)行的數(shù)據(jù)通信���,竊取用戶隱私��,并可以劫持用戶客戶端�,實(shí)現(xiàn)流量劫持�����、篡改等��。
通俗來講���,被用于保護(hù)通過WIFI連接的通信安全的加密協(xié)議WPA/WPA2存在漏洞��,攻擊者通過這個漏洞獲取一個萬能密鑰��,可以隨意地訪問任何受到保護(hù)的Wi-Fi網(wǎng)絡(luò)�����,竊聽所有通信信息��,例如密碼�、聊天信息�、上網(wǎng)記錄等����。據(jù)消息稱��,任何支持WIFI的設(shè)備都有可能受到“KRACK”的影響���。
當(dāng)專家在談?wù)揥iFi漏洞的時候,他們在談?wù)撌裁矗?/p>
幾乎所有業(yè)內(nèi)人士都認(rèn)為��,此次WPA2的安全漏洞曝光��,其破壞性�����、波及范圍都屬于“世界級”���。因?yàn)檫@次曝光的安全漏洞并非針對某類設(shè)備��,而是行業(yè)通用標(biāo)準(zhǔn)協(xié)議上出現(xiàn)問題�����,所以它的危害可想而知�。但就前情況來看���,該漏洞的風(fēng)險仍處于可控范圍�����,用戶無需過分恐慌����。
如何應(yīng)對?
雖然目前利用該漏洞進(jìn)行攻擊的難度較高�����,眼下我們暫時處于安全的狀態(tài)里����。但請注意,是暫時�。我們無法保證不會出現(xiàn)一些簡單的工具從而發(fā)起攻擊。
面對KRACK漏洞�����,微軟官方表示早已發(fā)布補(bǔ)丁��,蘋果已經(jīng)發(fā)布beta修復(fù)補(bǔ)丁��,還會在未來幾周內(nèi)發(fā)布新的升級。因此���,當(dāng)新版本推送之后,建議用戶盡快升級到最新版本��,做好應(yīng)對措施��。至于Linksys���、Netgear等無線設(shè)備廠商有的已經(jīng)發(fā)布補(bǔ)丁�,有的還在評估漏洞細(xì)節(jié)����,用戶需要密切關(guān)注智能設(shè)備制造廠商發(fā)布的安全公告,及時更新配置��。另外�����,在不使用WiFi時關(guān)閉手機(jī)WiFi功能��,公共WiFi下上網(wǎng)時刻謹(jǐn)慎或?qū)⑹謾C(jī)切換至數(shù)據(jù)流量網(wǎng)絡(luò)��。
最為關(guān)鍵的一點(diǎn)——安全意識,當(dāng)我們在瀏覽網(wǎng)站時要注意判別網(wǎng)站是否使用了HTTPS協(xié)議��,若進(jìn)行登錄�����、交易等線上操作的時候��,要注意查看網(wǎng)站HTTPS是否變?yōu)镠TTP�����,就此一項(xiàng)就可以規(guī)避99%的中間人或釣魚攻擊�。
關(guān)于HTTP/HTTPS的那些事
HTTPS是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版���。HTTPS的安全基礎(chǔ)是SSL��,因此加密的詳細(xì)內(nèi)容就需要SSL��。同時�,裝上SSL服務(wù)器證書后���,HTTP明文協(xié)議變成HTTPS密文協(xié)議�����,攻擊者無法竊取到傳輸內(nèi)容�����,有效防止黑客監(jiān)聽�����、篡改或竊取信息�。
微信網(wǎng)頁版
并不是所有的網(wǎng)頁都在使用HTTPS����,未進(jìn)行SSL安全協(xié)議部署的網(wǎng)站采用的是HTTP明文傳輸方式,其數(shù)據(jù)未進(jìn)行加密�,意味著網(wǎng)站在網(wǎng)絡(luò)環(huán)境不安全的情況下,這類網(wǎng)站極易被篡改�����,安全隱患極大����。例如當(dāng)用戶通過某游戲充值網(wǎng)站(未使用HTTPS)進(jìn)行充值時�����,這個“充值”鏈接可能會被篡改�����,由 https://… 改為 http://… 此時��,瀏覽器便會以不安全的 HTTP 與服務(wù)器建立連接����,用戶的一切操作或者說信息�����,便暴露在攻擊者面前����。
某游戲充值網(wǎng)站
由此看來,部署SSL安全協(xié)議為 HTTP加一把“安全鎖”��,使其成為HTTPS加密模式�����,能有效保障數(shù)據(jù)傳輸?shù)陌踩4送?��,服?wù)器部署了SSL證書后也向網(wǎng)站訪問者證明了網(wǎng)站的真實(shí)身份�,增強(qiáng)了網(wǎng)站的可靠性���。
在部署SSL安全協(xié)議時�,應(yīng)選擇權(quán)威授權(quán)的CA認(rèn)證機(jī)構(gòu)��,國內(nèi)知名認(rèn)證平臺“品牌寶”現(xiàn)已與國際頂級SSL證書服務(wù)商Symantec�、GeoTrust開展合作��,各網(wǎng)站運(yùn)營者可通過品牌寶官網(wǎng)進(jìn)行SSL證書辦理�����。
