本篇文章936字,读完约2分钟

即使是世界上最强大的网站也可能遭到攻击。

最近,三大运营商对流量的劫持令许多互联网公司感到愤怒。面对伤痕累累的朋友和商人,阿里巴巴在观望。因为它去年开始了淘宝、天猫等网站的协议加密。使用https协议,网站和用户之间的通信都是通过密文传输的。作为中介,运营商无法理解双方沟通的内容,所以自然没有办法介入。

[淘宝用https协议加密]

然而,一个新的漏洞表明,即使是加密的网络协议仍然可以被破解。

加密协议的原理非常简单。它的原理类似于第二次世界大战中的密码。知道密钥的人可以成功翻译消息的内容。因此,寻找破解密码和破解加密协议的方法一直是许多黑客的追求。早在网景公司于20世纪90年代创建“https”协议时,一位安全研究员就开发了一种方法,其原理可能是:

1.黑客发送许多请求来“折磨”服务器。

2.服务器只需回答“是”或“否”。

3.程序根据服务器的答案猜测正确的密钥。

然而,随着网络协议的升级,这种方法变得不太有效。

显然,加密协议的密钥必须使用密码库。加密协议使用的密码库称为“openssl”。这是世界上最大的密码库,已经被无数的黑客研究过,这个漏洞使得黑客很容易破解加密协议。

[作为中间人,一旦你破解了加密协议,你就可以随意劫持双方的通信内容]

这个漏洞非常强大,可以直接杀死世界上三分之一最强大的网站,1150万台服务器受到影响。包括阿里巴巴、雅虎和微博在内的许多网站也未能幸免。利用此漏洞,您可以随意劫持网站和用户之间的通信内容。什么信息会被双方看到,中间人可以随意决定。例如:

如果你想下载一个应用程序,攻击者可以给你看中国移动的广告。

如果你想浏览网页,攻击者可以给你看中国联通的广告。

如果你想使用一个应用,攻击者可以让你看到中国电信的广告

幸运的是,如果被中国运营商发现,这个致命的缺陷被安全研究人员发现了。天啊,后果不堪设想。。。。。

根据研究员的描述:

利用这个漏洞攻击一个网站,整个攻击过程不会超过8个小时,攻击成本约为440美元。

事实上,从来没有黑客利用这个漏洞发起真正的攻击,openssl发布了最新版本来修复这个漏洞。鉴于无数黑客夜以继日地研究,加密协议很可能会出现新的漏洞。

世界上所谓最强的网站可能只存在于我们的想象中。

标题:世界上最坚固的网站 也有可能被攻击

地址:http://www.j4f2.com/ydbxw/5308.html