找回密码
 骑士注册

QQ登录

微博登录

❏ 站外平台:

tag 标签:

相关文章

  • 三种解密 HTTPS 流量的方法介绍

    本文通过介绍三种最常规的 HTTPS 流量解密方法及原理,浅谈一下 HTTPS 的安全风险。

    2016-04-03 10:11     Jerry Qu

  • 作为 HTTPS 的骨灰粉,怎么可以不加入 HSTS 预载入列表

    自从关注了 HTTPS,Linux 中国就成了 HTTPS 的铁杆粉丝了,不但传播了很多 HTTPS 相关的文章,而且身体力行的将 http://linux.cn也切换到了 https://linux.cn。非但如此,还激进地配置了 HSTS策略。 HSTS 是什么? 如果一个 web 服务器支持 HTTP 访问,并将其重定向到 HTTPS 访问的话,那么访问者在重定向前的初始会话是非加密的。举个例子,比如访问者输入 http://www.foo.com/ 或直接输入 foo.com 时。 这就给了中间人攻击的一个机会,重定向可能会被破坏,从而定向到一个恶意站点而不是应该访问的加密页面。 HTTP 严格传输安全(HSTS

    2015-12-18 09:00     wxy

  • 多达 95% 的 HTTPS 链接能被黑客劫持

    由于服务器管理员没能正确设置 HTTP Strict Transport Security (HSTS),现今大量的 HTTPS 流量都能被轻松劫持。

    2016-03-22 08:56     Catalin Cimpanu, wxy

  • 如何针对老旧浏览器设置 HTTPS 策略

    几天前,一位朋友问我:都说推荐用Qualys SSL Labs这个工具测试 SSL 安全性,为什么有些安全实力很强的大厂家评分也很低?我认为这个问题应该从两方面来看: 国内用户终端情况复杂,很多时候降低 SSL 安全配置是为了兼容更多用户; 确实有一些大厂家的 SSL 配置很不专业,尤其是配置了一些明显不该使用的 CipherSuite。 我之前写的《关于启用 HTTPS 的一些经验分享(一)》,主要介绍 HTTPS 如何与一些新出的安全规范配合使用,面向的是现代浏览器。而今天这篇文章,更多的是介绍启用 HTTPS 过程中在老旧浏览器下可能遇到的问题,以及如

    2016-01-17 13:29     Jerry Qu

  • NSA 如何窃听 Google 的加密流量——当 HTTPS 遇到 CDN

    华盛顿邮报曾根据斯诺登泄露出来的 PPT 报道过美国国家安全局(NSA)在云端监听 Google(包括 Gmail)和 Yahoo 用户的加密通信。然而我们知道 Gmail 是使用 TLS 保护的,NSA 是如何破解 Google 的 TLS 加密通信的呢? 图1. 在美国 NSA 和英国 GCHQ 联合计划 MUSCULAR 中,NSA 和 GCHQ 绕过 TLS 加密,在云端监听后端的明文通信 1. 问题分析与测试 目前主流网站都依赖 HTTPS(HTTP over TLS/SSL)实现服务器认证、数据加密和完整性保护,比如 Google 几乎所有应用都在 HTTPS 的保护之下。同时,主流网站也普遍使用了 CDN(Content Delivery

    2016-01-04 10:46     段海新

  • 逾千万使用 https 的站点受到新型解密攻击的威胁

    低成本的 DROWN 攻击能在数小时内完成数据解密,该攻击对采用了 TLS 的邮件服务器也同样奏效。

    2016-03-07 13:41     ArsTechnica, oska874

  • Let's Encrypt 颁发的免费 HTTPS 证书已遭黑客利用

    自打数字证书认证机构(CA)Lets Encrypt 开启 beta 测试,为公众提供免费 HTTPS 证书以来,才仅有一个月时间,黑客们已经在打这项服务的主意,通过欺骗性的域名来部署他们的恶意软件。 12月份时,安全公司趋势科技发布消息说,有日本用户访问到一个恶意广告服务器,其上部署了 Angler Exploit Kit它会下载银行木马,自动感染 Windows 设备。这种木马可让黑客在用户不知情的情况下远程访问系统。 该公司表示,这种恶意广告服务器采用一种名为 domain shadowing 的技术,攻击者可诱导用户至已受控制的服务器,使用来自 Let's Encrypt 的安

    2016-01-08 14:28     

  • 网上订票惊爆信息泄露风险,你还敢在网上订票吗?

    据外媒 Softpedia 消息,移动数据领域的初创企业 Wandera 最近的一份调查报告显示,包括加拿大航空、亚航等四家大型航空公司在内的全球十余家航空、铁路、出租、票务等方面的大型公司由于没有部署移动端 HTTPS 访问,导致用户信息存在巨大的泄露风险!这些公司往往都已经在其网站上部署了 HTTPS 服务,但是其提供的针对手机的移动网站和 app 客户端的访问上,却没有相应的也使用 HTTPS 服务。这就导致了它们为每日高达50万用户访问所提供的服务存在着巨大的信息泄露风险。 尤其是当用户使用不可靠的公用互联网接入,如咖啡馆、商场的免费

    2015-12-14 16:00     wxy

  • Twitter、Facebook:不宜过快弃用 SHA-1 证书

    研究人员已经证明了要攻破 SHA-1 算法正变得越来越容易、所需成本也更低,所以就有了 SHA-1 将终结的说法。这也让很多浏览器厂商,如 Mozilla、微软和谷歌,在浏览器中将 SHA-1 签名的 SSL/TLS 证书标注为不安全,甚至最终阻止用户连接采用这种过时证书的站点。 浏览器厂商在很快做出回应以后,主要相关互联网服务的厂商们也做出了回应。不过这些服务和内容提供商的回应是不一样的,比如首先做出回应的互联网最大 CDN 之一的 CloudFlare,据他们所说,约有3700万用户还在用老旧的设备和浏览器,无法支持更安全的 SHA-2 证书,要宣布很快

    2015-12-31 07:00     

返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。