网站使用HPPTS可避免99%中间人攻击!
近日,一则“WiFi爆出重大安全漏洞,几乎影响所有无线设备”的新闻瞬间登上微博热搜,引起了广泛的关注!
当我们在谈论WiFi漏洞的时候,我们在谈论什么?
16日晚,研究人员在WPA/WPA2加密协议中发现并曝光了名为“Key Reinstallation Attack“(密钥重装攻击)简称“KRACK”的漏洞,黑客可以利用该漏洞监听到通过接入WiFi网络设备进行的数据通信,窃取用户隐私,并可以劫持用户客户端,实现流量劫持、篡改等。
通俗来讲,被用于保护通过WIFI连接的通信安全的加密协议WPA/WPA2存在漏洞,攻击者通过这个漏洞获取一个万能密钥,可以随意地访问任何受到保护的Wi-Fi网络,窃听所有通信信息,例如密码、聊天信息、上网记录等。据消息称,任何支持WIFI的设备都有可能受到“KRACK”的影响。
当专家在谈论WiFi漏洞的时候,他们在谈论什么?
几乎所有业内人士都认为,此次WPA2的安全漏洞曝光,其破坏性、波及范围都属于“世界级”。因为这次曝光的安全漏洞并非针对某类设备,而是行业通用标准协议上出现问题,所以它的危害可想而知。但就前情况来看,该漏洞的风险仍处于可控范围,用户无需过分恐慌。
如何应对?
虽然目前利用该漏洞进行攻击的难度较高,眼下我们暂时处于安全的状态里。但请注意,是暂时。我们无法保证不会出现一些简单的工具从而发起攻击。
面对KRACK漏洞,微软官方表示早已发布补丁,苹果已经发布beta修复补丁,还会在未来几周内发布新的升级。因此,当新版本推送之后,建议用户尽快升级到最新版本,做好应对措施。至于Linksys、Netgear等无线设备厂商有的已经发布补丁,有的还在评估漏洞细节,用户需要密切关注智能设备制造厂商发布的安全公告,及时更新配置。另外,在不使用WiFi时关闭手机WiFi功能,公共WiFi下上网时刻谨慎或将手机切换至数据流量网络。
最为关键的一点——安全意识,当我们在浏览网站时要注意判别网站是否使用了HTTPS协议,若进行登录、交易等线上操作的时候,要注意查看网站HTTPS是否变为HTTP,就此一项就可以规避99%的中间人或钓鱼攻击。
关于HTTP/HTTPS的那些事
HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。同时,装上SSL服务器证书后,HTTP明文协议变成HTTPS密文协议,攻击者无法窃取到传输内容,有效防止黑客监听、篡改或窃取信息。
微信网页版
并不是所有的网页都在使用HTTPS,未进行SSL安全协议部署的网站采用的是HTTP明文传输方式,其数据未进行加密,意味着网站在网络环境不安全的情况下,这类网站极易被篡改,安全隐患极大。例如当用户通过某游戏充值网站(未使用HTTPS)进行充值时,这个“充值”链接可能会被篡改,由 https://… 改为 http://… 此时,浏览器便会以不安全的 HTTP 与服务器建立连接,用户的一切操作或者说信息,便暴露在攻击者面前。
某游戏充值网站
由此看来,部署SSL安全协议为 HTTP加一把“安全锁”,使其成为HTTPS加密模式,能有效保障数据传输的安全。此外,服务器部署了SSL证书后也向网站访问者证明了网站的真实身份,增强了网站的可靠性。
在部署SSL安全协议时,应选择权威授权的CA认证机构,国内知名认证平台“品牌宝”现已与国际顶级SSL证书服务商Symantec、GeoTrust开展合作,各网站运营者可通过品牌宝官网进行SSL证书办理。