HTTP,即超文本传输协议,是互联网上应用最为广泛的一种网络协议。然而HTTP协议以明文方式发送内容,不提供任何方式的数据加密,这导致这种方式特别不安全。对此便衍生出能够为数据传输提供安全的HTTPS(超文本加密传输协议),HTTPS一度成为各大网站推崇的主流加密协议。
HTTPS加密连接也不再安全
不过,现在研究人员却发现了一种攻击方法能够绕过HTTPS加密连接,进而发现用户请求的网址,但加密流量本身不会受到影响。更可怕的是,该攻击对所有浏览器和操作系统均有效。
据透露,攻击者可以在各种类型的网络中发动这种攻击,甚至是在公共Wi-Fi中也可以。该攻击主要利用了一种名为WPAD(Web Proxy Autodisovery)的特性,这种特性会将某些浏览器请求暴露给攻击者,然后攻击者就可以看到目标用户访问过的每个网站的URL了。
研究人员称已发现可绕过HTTPS加密连接的攻击手法
研究人员表示,将于下个月在拉斯维加斯的Black Hat(黑帽)安全大会上演示该攻击手法。其中最有可能的攻击方法是当用户使用DHCP协议连接一个网络,DHCP能被用于设置一个代理服务器帮助浏览器访问特定的网址,攻击者可以强迫浏览器获取一个proxy autoconfig (PAC)文件,指定特定网址触发使用代理。恶意的PAC代码在HTTPS连接建立前获取到URL请求,攻击者因而能掌握用户访问的明文URL。
据悉除了URL,其他的HTTPs流量也会受到攻击的影响,并且在某些情况下, URL的暴露就已经可以对安全造成致命的打击了。例如,OpenID标准会使用URL来验证用户和服务。另一个例子是谷歌和Dropbox提供的文件共享服务,它会向用户发送一个包含URL的安全令牌,继而进行工作。许多密码重置机制也同样依赖于基于URL的安全令牌。攻击者只要在上述的任何一种情况下获得这些URL,就能进入目标用户的帐户、获取他们的数据。
====================================分割线================================
本文转自d1net(转载)