转载自 http://www.huxiu.com/article/45302/1.html

10月24日和25日,虎嗅君参加了GeekPwn(极棒)安全极客嘉年华活动。
 
嗯...说是嘉年华,其实就是一场智能设备破解Show。对于虎嗅君这样不搞技术的媒体同学,也就只能当一场Show看了。对于真正的安全极客们来说,GeekPwn(极棒)是一场智能设备破解挑战赛。当虎嗅君正在观看智能硬件破解Show的时候,来自世界各地的顶尖极客们正在Pwn(破解)掉手中的智能设备。
 
作为最为普及的智能设备,智能手机是极客们的首要目标。先是曾经三获世界顶级黑客赛事Pwn2Own冠军的Keen Team利用芯片级的高危漏洞设计的App,实现了在Android手机关机的情况下通过麦克风和摄像头窃听监视手机用户,随后世界顶尖iOS越狱团队盘古团队全球第一个实现了iOS8的越狱。而今年最火的特斯拉智能电动汽车也成为极客们的目标。利用Keen Team和V2S团队发现安全漏洞,即使是普通人也可以通过浏览器远程操控特斯拉智能电动汽车。
 
最令虎嗅君吃惊的是,来自清华大学的段海新教授发现了HTTPS(超文本传输安全协议)设计上的漏洞。段海新教授演示了三种利用这一漏洞的方法:第一种,在Gmail中伪装Gtalk好友。攻击者可以伪装成用户的Gtalk好友给用户发送借款信息。第二种,在中国银联中窃取用户绑定的银行卡。当用户在自己的银联账号里绑定银行卡时,攻击者可以让用户要绑定的银行卡绑定到攻击者的银联账号里,而用户完成银行卡绑定操作后,用户的银联账号里并没有绑定的银行卡。第三种,在支付宝中窃取用户网购时的付款。当用户在网上购物后付款时,攻击者可以让用户的付款转移到攻击者的支付宝账号中,而用户完成付款操作后,网上购物的付款并没有成功。
 
这三种方法的实现条件是用户在公开网络下使用非加密的方式访问过普通网站。也就是说,用户只要有一次与攻击者共处在同一网络中,并且通过非加密的方式访问过普通网站,之后即使攻击者和用户不在同一网络中,攻击者也能完成攻击。
 
事实上,在此之前,微博上曾经就HTTPS是否安全掀起过一场“撕逼”大战。起因是央视认为免费WiFi非常的不安全,黑客可以轻易的通过免费WiFi窃取到用户的密码。央视警告用户不要使用免费WiFi登陆网银或支付宝。而@奥卡姆剃刀认为央视在传播错误的观点。他认为WiFi只是通道而已,网银和支付宝都使用了HTTPS,即所有数据的传输都经过加密的,黑客不可能通过WiFi窃取到密码。
 
@奥卡姆剃刀的观点引发了众多安全界顶尖极客的反驳,极客们认为HTTPS本身没有问题,但是网银对HTTPS的实现是有漏洞的。因为银行的程序员在编写网银程序时没有严格遵守HTTPS,所以攻击者可以通过伪造证书的方式进行中间人劫持攻击,从而窃取到用户的网银密码。
 
现在,段海新教授发现的HTTPS的漏洞,使得被安全界公认安全的HTTPS也不再安全。在段海新教授的演示中,全程使用了HTTPS,但是依然没有阻止攻击。段海新教授表示这不是HTTPS实现上的漏洞,而是HTTPS本身的设计有漏洞。从这一点上来说,这一次段海新教授发现的漏洞的危害性要高于“心脏出血”漏洞,毕竟后者只是OpenSSL在实现SSL过程中产生的漏洞,而不是SSL本身设计有漏洞。
 
那么,连HTTPS都有漏洞,这么不安全的互联网我们还要继续用吗?
 
事实上,互联网自诞生以来就没有安全过。

连HTTPS都有漏洞,这么不安全的互联网我们还要继续用吗?的更多相关文章

  1. Android安全之Https中间人攻击漏洞

    Android安全之Https中间人攻击漏洞 0X01 概述   HTTPS,是一种网络安全传输协议,利用SSL/TLS来对数据包进行加密,以提供对网络服务器的身份认证,保护交换数据的隐私与完整性. ...

  2. 你想了解的 HTTPS 都在这里

    HTTP 协议仅仅制定了互联网传输的标准,简化了直接使用 TCP 协议进行通信的难度.有关 HTTP 协议相关的讲解请看前面两节: HTTP 协议详解 HTTP协议详解(二) less is more ...

  3. HTTPS那些事(一)HTTPS原理

    转载来自:http://www.guokr.com/post/114121/ 谣言粉碎机前些日子发布的<用公共WiFi上网会危害银行账户安全吗?>,文中介绍了在使用HTTPS进行网络加密传 ...

  4. Android安全开发之安全使用HTTPS

    Android安全开发之安全使用HTTPS 1.HTTPS简介 阿里聚安全的应用漏洞扫描器中有证书弱校验.主机名弱校验.webview未校验证书的检测项,这些检测项是针对APP采用HTTPS通信时容易 ...

  5. HTTPS那些事(一)HTTPS原理(转载)

    原创地址:http://www.guokr.com/post/114121/   楔子 谣言粉碎机前些日子发布的<用公共WiFi上网会危害银行账户安全吗?>,文中介绍了在使用HTTPS进行 ...

  6. HTTPS原理

    谣言粉碎机前些日子发布的<用公共WiFi上网会危害银行账户安全吗?>,文中介绍了在使用HTTPS进行网络加密传输的一些情况,从回复来看,争议还是有的.随着网络越来越普及,应用越来越广泛,一 ...

  7. https那些事儿

    (一)SSL/TLS协议运行机制的概述 一.作用 不使用SSL/TLS的HTTP通信,就是不加密的通信.所有信息明文传播,带来了三大风险. (1) 窃听风险(eavesdropping):第三方可以获 ...

  8. [转]HTTPS那些事(一)HTTPS原理

    [转]HTTPS那些事(一)HTTPS原理 http://www.guokr.com/post/114121/ 楔子谣言粉碎机前些日子发布的<用公共WiFi上网会危害银行账户安全吗?>, ...

  9. HTTPS那些事(一) HTTPS原理

    谣言粉碎机前些日子发布的<用公共WiFi上网会危害银行账户安全吗?>,文中介绍了在使用HTTPS进行网络加密传输的一些情况,从回复来看,争议还是有的.随着网络越来越普及,应用越来越广泛,一 ...

随机推荐

  1. 关于sifari兼容性的一个问题

    输入框 一个很基础的控件 结果出现了兼容性问题 在chrome ie android上页面正常 结果在Safari和IOS系统里面输入框无法输入, 点击后边框有高亮效果但是无法输入文本,问题代码如下: ...

  2. tfs 分支

    集团-IT部张强 11:15:211.主干时刻处于稳定状态,随时可以发布.设专门人员对主干代码进行管理,普通开发人员只读. 2.为开发任务建立开发分支.常规的可以以小组为单位建立分支,较大的任务可以建 ...

  3. lhgdialog: iframe页面里面的,确定,关闭、取消按钮的操作

    lhgdialog: iframe页面里面的,确定,关闭.取消按钮的操作 如果你正在用lhgdialog,用他人iframe,或者 content:'url:http://www.baidu.com/ ...

  4. SPSS数据分析—单因素及多因素方差分析

    t检验可以解决单样本.两个样本时的均值比较问题,但是对于两个以上样本,就不能用t检验了,而要使用方差分析.t检验是借助t分布,方差分析是借助F分布,基于变异分解的思想进行. 在算法上,由于线性模型的引 ...

  5. .NET日常总结

    属性: AccepButton:按钮在按回车键时执行(确定). CancleButton:按钮在按ESC时执行(取消). MinimizeBox:用于设置窗体上是否会出现最小化按钮. Maximize ...

  6. SEO命令之”site“运用详解

    一.“site”基本介绍: 都知道要想查询一个特定网站的收录状况一般会分为两种情况:一.结果中有返回数据,则表明该网站已被收录:二.如果返回数据为空,则该网站未被收录.如果是以前已被收录的,现在来查没 ...

  7. Scala HelloWorld

    1) 使用MVN创建项目 mvn archetype:generate -DgroupId=com.mycompany.app -DartifactId=my-app -DarchetypeArtif ...

  8. ets查询:查询表中的具体一列的所有值

    比如要查询goods表中的ID这一列的所有值: P = [{#goods{upgrade='$1',_ = '_'},[],['$1']}] 要查询ID和Upgrade这两列的值: P2 = [{#g ...

  9. 使用squid配置透明代理并对上网行为进行控制

    使用Squid配置透明代理 环境:CentOS 6.4 + squid-3.1.10-20.el6_5.3.x86_64 1.检查squid是否默认安装,没有安装先安装 rpm -qa squid 假 ...

  10. javascript的坑

    1 for in循环:使用它时,要主要遍历的是所有可枚举的属性(实例以及原型中的属性) function Person(name){ this.name = name; } Person.protot ...