眾所周知HTTPS比HTTP要安全的多了，因?yàn)槠洳捎昧思用艿膮f(xié)議，HTTPS（超文本傳輸協(xié)議安全）在過(guò)去幾年逐漸取代取HTTP，成為了大多數(shù)網(wǎng)站的首選，可是發(fā)現(xiàn)它仍然不安全。 HTTPS應(yīng)該保護(hù)用戶免受中間人攻擊，并且不允許黑客訪問(wèn)您的密碼，歷史記錄和其他數(shù)據(jù)。意大利威尼斯CA'Foscari大學(xué)和奧地利Tu Wien大學(xué)的研究人員發(fā)現(xiàn)，超過(guò)10000個(gè)使用HTTPS的頂級(jí)網(wǎng)站仍然容易受到傳輸層安全漏洞的攻擊。

新的研究表明，某些使用HTTPS來(lái)保護(hù)用戶和Web服務(wù)器之間連接的網(wǎng)站仍然將一些用戶數(shù)據(jù)暴露給黑客。在被分析的10000個(gè)網(wǎng)站中，約5.5%的網(wǎng)站容易受到攻擊。HTTPS使用傳輸層安全性或TLS加密通信。但是，有些網(wǎng)站沒(méi)有正確實(shí)施此協(xié)議。這些網(wǎng)站未能使用TLS修復(fù)一些已知錯(cuò)誤。

 

 

當(dāng)用戶訪問(wèn)這些網(wǎng)站時(shí)，HTTPS的綠色掛鎖鎖仍然會(huì)出現(xiàn)在地址欄中。TLS中的錯(cuò)誤很難被檢測(cè)到，但它們?nèi)匀淮嬖?，并且可能被利用。研究人員使用TLS分析技術(shù)來(lái)分析前10000個(gè)網(wǎng)站。他們使用Alexa的排名表來(lái)查找這些網(wǎng)站。該研究論文將在第四十屆IEEE安全與隱私研討會(huì)上發(fā)表，該研討會(huì)將于5月在舊金山舉行。

攻擊者可以使用這些漏洞來(lái)解密來(lái)自cookie的信息。雖然cookie不會(huì)向攻擊者提供任何敏感信息，但還有其他缺陷。攻擊者可以訪問(wèn)瀏覽器和服務(wù)器之間交換的幾乎所有數(shù)據(jù)。值得注意的是，被測(cè)試的10000個(gè)網(wǎng)站也鏈接到了大約91000個(gè)域名。這些漏洞也可能影響這些網(wǎng)站。在10000個(gè)網(wǎng)站中，898個(gè)網(wǎng)站完全易受攻擊，整個(gè)數(shù)據(jù)被發(fā)現(xiàn)受到破壞。另外977個(gè)網(wǎng)站的頁(yè)面完整性很低，這也是一個(gè)很大的問(wèn)題。

當(dāng)然HTTPS再有漏洞也比HTTP要安全的多，HTTP極易遭到劫持。