久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

HTTP，即超文本傳輸協(xié)議，是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。然而HTTP協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，這導(dǎo)致這種方式特別不安全。對(duì)此便衍生出能夠?yàn)閿?shù)據(jù)傳輸提供安全的HTTPS(超文本加密傳輸協(xié)議)，HTTPS一度成為各大網(wǎng)站推崇的主流加密協(xié)議。

HTTPS加密連接也不再安全

不過(guò)，現(xiàn)在研究人員卻發(fā)現(xiàn)了一種攻擊方法能夠繞過(guò)HTTPS加密連接，進(jìn)而發(fā)現(xiàn)用戶請(qǐng)求的網(wǎng)址，但加密流量本身不會(huì)受到影響。更可怕的是，該攻擊對(duì)所有瀏覽器和操作系統(tǒng)均有效。

據(jù)透露，攻擊者可以在各種類(lèi)型的網(wǎng)絡(luò)中發(fā)動(dòng)這種攻擊，甚至是在公共Wi-Fi中也可以。該攻擊主要利用了一種名為WPAD(Web Proxy Autodisovery)的特性，這種特性會(huì)將某些瀏覽器請(qǐng)求暴露給攻擊者，然后攻擊者就可以看到目標(biāo)用戶訪問(wèn)過(guò)的每個(gè)網(wǎng)站的URL了。

研究人員稱已發(fā)現(xiàn)可繞過(guò)

研究人員表示，將于下個(gè)月在拉斯維加斯的Black Hat(黑帽)安全大會(huì)上演示該攻擊手法。其中最有可能的攻擊方法是當(dāng)用戶使用DHCP協(xié)議連接一個(gè)網(wǎng)絡(luò)，DHCP能被用于設(shè)置一個(gè)代理服務(wù)器幫助瀏覽器訪問(wèn)特定的網(wǎng)址，攻擊者可以強(qiáng)迫瀏覽器獲取一個(gè)proxy autoconfig (PAC)文件，指定特定網(wǎng)址觸發(fā)使用代理。惡意的PAC代碼在HTTPS連接建立前獲取到URL請(qǐng)求，攻擊者因而能掌握用戶訪問(wèn)的明文URL。

據(jù)悉除了URL，其他的HTTPs流量也會(huì)受到攻擊的影響，并且在某些情況下， URL的暴露就已經(jīng)可以對(duì)安全造成致命的打擊了。例如，OpenID標(biāo)準(zhǔn)會(huì)使用URL來(lái)驗(yàn)證用戶和服務(wù)。另一個(gè)例子是谷歌和Dropbox提供的文件共享服務(wù)，它會(huì)向用戶發(fā)送一個(gè)包含URL的安全令牌，繼而進(jìn)行工作。許多密碼重置機(jī)制也同樣依賴于基于URL的安全令牌。攻擊者只要在上述的任何一種情況下獲得這些URL，就能進(jìn)入目標(biāo)用戶的帳戶、獲取他們的數(shù)據(jù)。