世界最大色情網(wǎng)站用HTTPS數(shù)據(jù)加密��,它如何讓你更安全地看片?
作者:網(wǎng)站建設(shè)出處:學(xué)眾科技發(fā)布時(shí)間:2017年04月07日點(diǎn)擊數(shù):1670
午休時(shí)間�,小 A 戴著眼鏡在辦公室��,盯著屏幕一臉緊張�。
“哎呀���,小 A 真不錯(cuò)啊,休息時(shí)間還這么積極開(kāi)展工作����。”
領(lǐng)導(dǎo)繞到了小 A 身后�����,準(zhǔn)備嘉獎(jiǎng)一番。
只見(jiàn)電腦屏幕上出現(xiàn)了不可描述的網(wǎng)站���。
小A 一驚,結(jié)結(jié)巴巴地解釋��,“領(lǐng)導(dǎo),我剛查資料����,不知道怎么打開(kāi)一個(gè)網(wǎng)站���,就跳轉(zhuǎn)到了這個(gè)網(wǎng)站”���。
領(lǐng)導(dǎo)看了一眼掃瞄 器地址欄上的“綠色小鎖”�,真相了然于胸���。
領(lǐng)導(dǎo)看到“綠色小鎖”應(yīng)該是下面這一把:
(上班時(shí)間打開(kāi)這個(gè)網(wǎng)站��,雷鋒網(wǎng)編輯略有壓力)
對(duì)了�,這就是世界上最大的色情網(wǎng)站 Pornhub �。最近�, Pornhub 和其姐妹網(wǎng)站 YouPorn 了采納 HTTPS 網(wǎng)頁(yè)加密技術(shù),因此,只要你打開(kāi)這兩家的網(wǎng)址���,地址欄就會(huì)出現(xiàn)這把“綠色小鎖”�����。
事實(shí)上���,只要看到這把“綠色小鎖”�����,基本能保證“你連接的是你想要連接的網(wǎng)站”���。小 A 的詭辯因此被洞察……
HTTPS 是什么?老司機(jī)為什么加上“綠色小鎖”
上羞羞網(wǎng)站被抓包����,你害怕它的后果嗎? 2016 年����,曾發(fā)生過(guò)三起比較嚴(yán)峻 的色情網(wǎng)站信息泄露事件�����。
2016 年 5 月����,著名黑客 Peace in Mind(內(nèi)心的平靜)在著名暗網(wǎng)黑市 The Real Deal 掛出了一個(gè)“爆款”商品���,那就是4000 萬(wàn) Fling 的用戶注冊(cè)信息����。包括所有用戶的郵箱地址����、注冊(cè)名���、明文密碼�����、歷史登陸IP地址以及生日�����。
2016 年 10 月,成人約會(huì)和娛樂(lè)公司 Friend Finder Network 經(jīng)歷一次最大規(guī)模黑客攻擊���,導(dǎo)致超過(guò)4. 12 億的賬戶信息泄露。該公司旗下有號(hào)稱 “全世界最大約炮社區(qū)”的 Adult Friend Finder����,以及 penthouse 等其他幾個(gè)成人網(wǎng)站 。
2016 年 11 月�����,成人網(wǎng)站 xHamster 有超過(guò) 380000 的用戶數(shù)據(jù)在網(wǎng)絡(luò)地下黑市被公開(kāi)售賣(mài)��,其中包括用戶名��、電子郵件地址以及經(jīng)過(guò) MD5 哈希密碼�����,令人咋舌的是���,其中還包含了美國(guó)軍方以及英國(guó)等多國(guó)政府郵箱��。
輕則有人購(gòu)買(mǎi)這些信息給你推送相關(guān)羞羞廣告��,重則竊取信息�����,造成重大財(cái)務(wù)損失�,還有更嚴(yán)峻 的�,想必你可能在神劇《黑鏡》里看過(guò)���,以隱私信息相挾制 �,家破人亡也是有可能的��。更甚者�,你看��,上面還有政府信息泄露����。
采納 HTTPS 網(wǎng)頁(yè)加密��,加上“綠色小鎖”有什么用?雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))曾在這樣一篇文章《想看小黃片卻擔(dān)心被抓包?這些網(wǎng)站能讓老司機(jī)放心“開(kāi)車(chē)”》中就有探討:
“使用 HTTPS�����,你的 ISP (互聯(lián)網(wǎng)服務(wù)供應(yīng)商)就不會(huì)知道你在色情網(wǎng)站上干了些什么,即使是政府和間諜也不能辦到����,因?yàn)檫@些信息是加密的。至于完整性,部署 HTTPS 可以防止第三方��,或 ISP 惡意軟件的注入。事實(shí)上�����,我們已經(jīng)在自己的頁(yè)面上實(shí)現(xiàn)了 HTTPS 加密���?����!泵绹?guó)民主與技術(shù)中心 CDT 首席技術(shù)專家 Joseph Hall 表示。
先不要一臉懵逼�?��?纯礊槭裁?nbsp;Pornhub 為什么要拋棄 HTTP�����,轉(zhuǎn)投 HTTPS 的懷抱�����。
超文本傳輸協(xié)議 HTTP 協(xié)議被用于在 Web 掃瞄 器和網(wǎng)站服務(wù)器之間傳遞信息。也就是說(shuō)�����,它是一個(gè)“傳聲筒”。但是,HTTP 協(xié)議以明文方式發(fā)送內(nèi)容��,不提供任何方式的數(shù)據(jù)加密�����,如果攻擊者截取了 Web掃瞄 器和網(wǎng)站服務(wù)器之間的傳輸報(bào)文��,就可以直接讀懂其中的信息����,因此 HTTP 協(xié)議不適合傳輸一些敏感信息�����,比如信用卡號(hào)��、密碼等�����。
為了解決 HTTP 協(xié)議的這一缺陷�,安全套接字層超文本傳輸協(xié)議 HTTPS 應(yīng)運(yùn)而生��。為了數(shù)據(jù)傳輸?shù)陌踩?����,HTTPS 在 HTTP 的基礎(chǔ)上加入了 SSL 協(xié)議����,SSL 依靠證書(shū)來(lái)驗(yàn)證服務(wù)器的身份���,并為掃瞄 器和服務(wù)器之間的通信加密。
HTTPS 和 HTTP 的區(qū)別主要為以下四點(diǎn):
-
HTTPS 協(xié)議需要到 CA 申請(qǐng)證書(shū)���,一般免費(fèi)證書(shū)很少��,需要交費(fèi)�。
-
HTTP 是超文本傳輸協(xié)議��,信息是明文傳輸�,HTTPS 則是具有安全性的 SSL 加密傳輸協(xié)議。
-
HTTP 和 HTTPS 使用的是完全不同的連接方式�����,用的端口也不一樣,前者是80�,后者是443���。
-
HTTP 的連接很簡(jiǎn)單�,是無(wú)狀態(tài)的����,HTTPS 協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸���、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議�,比 HTTP 協(xié)議安全����。
“說(shuō)人話”的版本是���,HTTPS 可以保證——
-
你掃瞄 的頁(yè)面的內(nèi)容如果被人中途看見(jiàn)�����,將會(huì)是一團(tuán)亂碼。
-
你掃瞄 的頁(yè)面就是你想掃瞄 的,不會(huì)被黑客在中途修改���,網(wǎng)站收到的數(shù)據(jù)包也是你最初發(fā)的那個(gè)����,不會(huì)把你的數(shù)據(jù)給換掉��,搞出一個(gè)大新聞。
-
你連接的是你想要連接的網(wǎng)站��,不會(huì)出現(xiàn)有人中途偽造一個(gè)網(wǎng)站給你���。
這意味著,你在看羞羞的網(wǎng)站內(nèi)容時(shí)���,這些內(nèi)容不會(huì)因?yàn)楸蝗送低到厝”话l(fā)現(xiàn),也不會(huì)明明要看羞羞的網(wǎng)站�,卻上了一個(gè)你不需要的賣(mài)壯陽(yáng)藥的網(wǎng)站。
HTTPS 工作原理:兩位“地下黨”接頭紀(jì)實(shí)
一名久經(jīng)考驗(yàn)的老地下黨員終于要見(jiàn)到同志了,他們甩掉了跟蹤他們的耳目�,在一個(gè)隱秘的小巷�,說(shuō)一聲“天龍蓋地虎”�,對(duì)方答“寶塔鎮(zhèn)河妖”,成功對(duì)接�,互道一聲“同志你好”�����。
這就是 HTTPS 在傳輸數(shù)據(jù)之前需要掃瞄 器與服務(wù)端(網(wǎng)站)之間進(jìn)行一次“握手”,在握手過(guò)程中確立雙方加密傳輸數(shù)據(jù)的密碼信息�。
對(duì),這并不是正式傳遞內(nèi)容��,只是“加好友”���。
兩個(gè)互相不能信任的人開(kāi)始了試探……
當(dāng)然�, HTTPS 使用的接頭暗號(hào)絕對(duì)不是這么簡(jiǎn)單���。他們使用的“密碼本”比戰(zhàn)爭(zhēng)時(shí)期的更難破譯����。“接頭暗號(hào)”TLS/SSL協(xié)議不僅僅是一套加密傳輸?shù)膮f(xié)議�����,更是一件經(jīng)過(guò)藝術(shù)家精心設(shè)計(jì)的藝術(shù)品�����,因?yàn)?TLS/SSL中使用了非對(duì)稱加密、對(duì)稱加密以及哈希算法�。
全世界只有一種“加密的執(zhí)著”可以和上面的加密程度媲美——情侶們?yōu)榍筇扉L(zhǎng)地久一層一層地往樹(shù)上掛滿同心結(jié)���,往橋上加鎖。
兩位“地下黨”是這么接頭的:
1.掃瞄 器將自己支持的一套加密規(guī)則發(fā)送給網(wǎng)站����。
2.網(wǎng)站從中選出一組加密算法與哈希算法��,并將自己的身份信息以證書(shū)的形式發(fā)回給掃瞄 器����。證書(shū)里面包含了網(wǎng)站地址����,加密公鑰,以及證書(shū)的頒發(fā)機(jī)構(gòu)等信息���。
3.兩人交換信物,開(kāi)始驗(yàn)證信物����。獲得網(wǎng)站證書(shū)之后,掃瞄 器要驗(yàn)證證書(shū)的合法性���,比如���,頒發(fā)證書(shū)的機(jī)構(gòu)是否合法��,證書(shū)中包含的網(wǎng)站地址是否與正在訪問(wèn)的地址一致等。
如果證書(shū)受信任�����,則掃瞄 器欄里面會(huì)顯示一個(gè)小鎖頭�����,否則會(huì)給出證書(shū)不受信的提示��。如果證書(shū)受信任�����,或者是用戶接受了不受信的證書(shū)�,掃瞄 器會(huì)生成一串隨機(jī)數(shù)的密碼�,并用證書(shū)中提供的公鑰加密�����。
然后兩位同志使用約定好的哈希計(jì)算消息,使用生成的隨機(jī)數(shù)對(duì)消息進(jìn)行加密�,最后將之前生成的所有信息發(fā)送給網(wǎng)站。
一方發(fā)出了好友認(rèn)證申請(qǐng)……
4.網(wǎng)站接收掃瞄 器發(fā)來(lái)的數(shù)據(jù)后�����,開(kāi)始了瘋狂解密的過(guò)程����。
5.掃瞄 器解密并計(jì)算握手消息的哈希,如果與服務(wù)端發(fā)來(lái)的哈希一致�����,此時(shí)握手結(jié)束��,之后所有的通信數(shù)據(jù)將由之前掃瞄 器生成的隨機(jī)密碼并利用對(duì)稱加密算法進(jìn)行加密�����。
這里掃瞄 器與網(wǎng)站互相發(fā)送加密的握手消息并驗(yàn)證,目的是為了保證雙方都獲得了一致的密碼��,并且可以正常的加密解密數(shù)據(jù),為后續(xù)真正數(shù)據(jù)的傳輸做一次測(cè)試�。
這是互相試探的前奏��,只有認(rèn)證成功�����,他們才真正開(kāi)始傳輸�。
接受好友申請(qǐng)��,他們馬上開(kāi)展友好往來(lái)……
有 HTTPS 就能放心開(kāi)車(chē)?
就當(dāng)羞羞網(wǎng)站張開(kāi)懷抱擁抱 HTTPS ,你以為萬(wàn)事大吉�����,可以放心嘿嘿嘿時(shí)��,還有一些小插曲可能會(huì)讓你心生疑慮���。
(并不是這個(gè)問(wèn)題)
外媒 wordfence 曾有一篇文章指出:在許多假冒知名公司的釣魚(yú)網(wǎng)站中�,如假冒 Google���、微軟、蘋(píng)果等,所使用的 SSL 證書(shū)來(lái)自多個(gè)認(rèn)證機(jī)構(gòu)(CA)的頒發(fā)����。Chrome 掃瞄 器只對(duì) SSL 證書(shū)的有效性進(jìn)行推斷 �����,如果有效則直接將網(wǎng)站顯示為“安全”�����。
即使網(wǎng)站證書(shū)已被 CA 認(rèn)證機(jī)構(gòu)撤銷(xiāo),Chrome 掃瞄 器仍將站點(diǎn)標(biāo)識(shí)為“安全”��。已撤銷(xiāo)”狀態(tài)僅在 Chrome 開(kāi)發(fā)人員工具中可見(jiàn)���。而已公布有效 SSL 證書(shū)的惡意網(wǎng)站����,需要一段時(shí)間后才會(huì)被拉入Chrome 的惡意網(wǎng)站列表中。
這是CA 證書(shū)失效延遲可能造成的后果���。
知乎計(jì)算機(jī)問(wèn)題優(yōu)秀答主“車(chē)小胖”認(rèn)為:HTTPS 并不是 100% 絕對(duì)可靠。
“斯諾登暴露出����,針對(duì)IPsec����,TLS的密鑰交換所依賴的Diffie-Hellman算法攻擊,即通過(guò)離線的超級(jí)計(jì)算機(jī)預(yù)先計(jì)算出海量的公鑰���、私鑰對(duì)��,一旦嘗試出私鑰就會(huì)得到Master Key��,進(jìn)而推導(dǎo)出session key,這樣歷史數(shù)據(jù)��、現(xiàn)在�����、將來(lái)的數(shù)據(jù)全可以解密��。
以上是被動(dòng)攻擊方式�����,針對(duì)數(shù)字證書(shū)欺騙則屬于主動(dòng)攻擊��,可以實(shí)時(shí)地解密用戶數(shù)據(jù)�。但種種主�、被動(dòng)攻擊難度都很高,往往是以國(guó)家意志為源動(dòng)力��,而不是一些小團(tuán)體所能完成的����。”
雷鋒網(wǎng)編輯還檢索到�,在一則《“凈廣大師”病毒 HTTPS 劫持技術(shù)深度分析》的文章中,還有病毒”劫持”SSL 證書(shū)的案例。
該病毒是通過(guò)代理的方式,以中間人攻擊的形式來(lái)劫持 HTTPS 流量�。當(dāng)掃瞄 器訪問(wèn)某度時(shí),病毒驅(qū)動(dòng)會(huì)將連向某度(61.135.169.125)443 端口 (HTTPS) 的鏈接重定向到本地的 10100 監(jiān)聽(tīng)端口,explorer 中的病毒代碼再代替掃瞄 器發(fā)起與遠(yuǎn)端Web服務(wù)器的鏈接進(jìn)行通訊。該病毒同時(shí)通過(guò)自己攜帶的證書(shū)分別與掃瞄 器和遠(yuǎn)端 Web 服務(wù)器完成 SSL 握手��,進(jìn)而以中間人攻擊的形式完全操縱 HTTPS 鏈路通信����。
如果你還注意到這句話——“HTTPS 協(xié)議需要到 CA 申請(qǐng)證書(shū),一般免費(fèi)證書(shū)很少���,需要交費(fèi)”��,就會(huì)發(fā)現(xiàn)“HTTPS �,不是你想用就能用”。因此�,一些免費(fèi)發(fā)送證書(shū)的機(jī)構(gòu)應(yīng)運(yùn)而生����。
免費(fèi)的午餐被利用時(shí),用戶吃到的可能是蒼蠅�����。
比如�,非營(yíng)利網(wǎng)絡(luò)認(rèn)證發(fā)放機(jī)構(gòu) Let's Encrypt 推出了開(kāi)源免費(fèi)的HTTPS認(rèn)證服務(wù)��。不過(guò),據(jù)中關(guān)村在線報(bào)道�,近期有專家發(fā)現(xiàn)����,Let's Encrypt 發(fā)放的認(rèn)證證書(shū)有被濫用的趨勢(shì)����。該報(bào)道還指出“迄今已發(fā)行 15270 個(gè)內(nèi)含 PayPal 字樣的證書(shū)��,當(dāng)中約有 96.7 %被用于釣魚(yú)網(wǎng)站����,這表示約有 14766 個(gè)釣魚(yú)網(wǎng)站已經(jīng)擁有與 PayPal 相關(guān)的證書(shū)”�。
最后�����,照顧到部分看上去“什么技術(shù)也不懂”的 Pornhub 等類似網(wǎng)站用戶的需求�,雷鋒網(wǎng)編輯向一位資深互聯(lián)網(wǎng)從業(yè)人士請(qǐng)教了實(shí)操建議:
-
在不考慮 CA 證書(shū)失效的基礎(chǔ)上,直接在地址欄里面輸入的 HTTPS 是安全的,跳轉(zhuǎn)的 HTTPS 不一定安全���。也就是說(shuō)��,訪問(wèn)一個(gè) HTTP 的鏈接��,網(wǎng)站跳轉(zhuǎn)到 HTTPS 還是可能被劫持�����,所以訪問(wèn)時(shí)最好確認(rèn)第一次打開(kāi)的地址欄里就帶 HTTPS ��。
-
HTTPS 安全也是假定你的電腦沒(méi)有被入侵�,是干凈的。如果你電腦已經(jīng)被操縱 了�����,那就沒(méi)什么安全可言了�。
-
跳轉(zhuǎn) HTTPS 的場(chǎng)景大量存在,不是資深用戶的話不要輕易相信公共場(chǎng)所無(wú)線AP的安全性���,即使用 HTTPS�。
豫公網(wǎng)安備41018402000614號(hào)