SSL信息
在网络安全事件频发的时代,部署HTTPS已是大势所趋。信息社会,我们离不开网络,如果有一天你打开网页,你会发现地址栏出现一把“绿色小锁”,网址链接中的“HTTP”也被绿色的“HTTPS”所取代。那么,由HTTP变成HTTPS就安全了?加个“S”就是“Superman”了吗?
答案显然是否定的,首当其冲的就是漏洞问题。比如近期突然再度爆发1998年时发现的TLS“ROBOT”漏洞,“ROBOT”存在于传输层安全(TLS)协议,波及主流网站:Facebook、PayPal、F5、Ctrix及思科等都确认受到影响。因为攻击者可解密数据,并用网站的私钥来签名通信。TLS协议用于执行Web加密,而该漏洞就存在于处理RSA加密密钥的算法中。
攻击使用专门构造的查询指令,以非“是”即“否”的应答的形式,在TLS服务器上产生错误。该技术被称为自适应选择密文攻击。这些服务器通过解密HTTPS流量,负责保护用户浏览器与网站之间的通信。如果攻击成功,攻击者可被动监视并记录流量,利用该漏洞,中间人攻击也是可以执行的。
这也就意味着,攻击者可以通过简单的暴力攻击来猜测会话密钥,并解密TLS (HTTPS)服务器和客户端(浏览器)之间交换的所有HTTPS流量信息。
针对此次再度死灰复燃TLS“ROBOT”漏洞,亚洲诚信自主研发的HTTPS最佳安全实践检测系统MySSL.com在第一时间发布了对应的检测工具,以便用户可以随时检测到其网站是否受到攻击。
检测网站:https://myssl.com/robot_detect.html
更多详细内容请查看MySSL.com相关博客:https://blog.myssl.com/robot-attack-detect
