即使是世界上最坚固的网站,也有可能被攻击。
最近,三大运营商劫持流量的事情让很多互联网公司群情激愤。面对伤痕累累的友商,阿里巴巴却在一旁作壁上观。因为其在去年就启动了淘宝、天猫等全站的协议加密。利用https协议让网站和用户之间的沟通全部采用密文传输。作为中间人的运营商看不懂双方交流的内容,自然没有办法插足了。
【采用https协议加密的淘宝网】
不过,一个最新爆出的漏洞显示:即使是加密的网络协议,仍然可以被破解。
加密协议的原理很简单,它的原理和二战时的密码电报类似。谁知道密钥,谁就可以成功翻译出讯息的内容。于是,想方设法破解密码,从而北京延庆县网站建设公司攻破加密协议一直是很多黑客的追求。早在90年代https协议被网景公司创立以来,就有安全研究员开发出了一种方法,这种方法的原理大概是:
1、黑客发送诸多请求,拷问服务器,
2、服务器只需要回答是或否,
3、程序根据服务器的回答来猜出正确的密钥。
不过,这种方法随着网络协议的升级而变得不太灵光。
显而易见,加密协议的密钥必须使用一个密码库。而加密协议使用的密码库名为OpenSSL。正是这个被无数黑客研究的全球最大的密码库被曝出漏洞,这个漏洞让黑客轻松破解加密协议。
【作为中间人,一旦破解加密协议,可以任意劫持双方通信内容】
这个漏洞的威力巨大,它可以直接干掉三分之一的全球最坚固网站,有1150万台服务器受到影响。包括阿里巴巴、雅虎、微博在内的诸多网站都没有幸免。使用这个漏洞,可以任意劫持网站和用户丽江网站建设公司之间的通信内容。双方究竟会看到什么信息,中间人是可以随意决定的。例如:
如果你想下载一个应用,攻击者可以让你看到中国移动的广告。
如果你想浏览一个网页,攻击者可以让你看到中国联通的广告。
如果你想使用一个App,攻击者可以让你看到中国电信的广告
幸亏这个致命漏洞是被安全研究员发现的,如果它被中国的运营商发现。天呐,后果不堪设想。。。。。
研究人员的描述称:
利用这个漏洞攻击一个网站,整个攻击过程不会超过八个小时,攻击成本大约在440美金左右。
而实际上,还没有黑客利用这个漏洞发动过真正的攻击,而OpenSSL 已经发布了最新版本,修复了这个漏洞。鉴于无数黑客昼夜不眠地研究,加密协议很可能还会爆出新的漏洞。
所谓世界上最坚固的网站,也许只存在于我们的想象之中吧。
延伸阅读:
启用全站HTTPS后不仅更安全而且更快 看淘宝是如何做到的
HTTPS科普扫盲帖
再补一刀!HTTP与HTTPS的恩恩怨怨
https和http的新区别:有无谷歌的不安全标签
全站HTTPS来了!有何优势、与HTTP有何不同?
扒一扒HTTPS网站的内幕
南京牧狼文化传媒有限公司简介:
牧狼传媒,牧者之心,狼者之性,以牧之谦卑宽容之心待人,以狼之团结无畏之性做事!
公司注册资金100万,主营众筹全案服务、网站营销全案服务、网站建设、微信小程序开发、电商网店设计、H5页面设计、腾讯社交广告投放以及电商营销推广全案等相关业务,致力于为客户提供更有价值的服务,创造让用户满意的效果!
为百度官方及其大客户、苏宁易购、金山WPS秀堂、美的、创维家电、新东方在线、伊莱克斯、宝丽莱等国内国外知名品牌服务过,服务经验丰富!同时,公司也是南京电子商务协会会员单位、猪八戒网官方认证签约服务商、江苏八戒服务网联盟、南京浦口文化产业联合会会员单位,可以为您提供更好的服务!
主营项目:众筹全案服务、网站营销全案服务、网站建设、微信小程序开发、电商网店设计、H5页面设计、腾讯社交广告投放、竞价托管、网站优化、电商代运营等
合作客户:百度、苏宁易购、饿了么、美的、创维家电、新东方在线、宝丽莱、金山WPS秀堂、伊莱克斯
资质荣誉:百度商业服务市场2017年度最佳图片服务商、南京电子商务协会会员单位、猪八戒网官方认证签约服务商、江苏八戒服务网联盟、南京浦口文化产业联合会会员单位、八戒通TOP服务商、"易拍即合杯"H5创意大赛"三等奖"。