查看: 1560|回复: 0
打印 上一主题 下一主题

安全何其难:HTTPS无法保护隐私

[复制链接]

1313

主题

1337

帖子

5648

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
5648
跳转到指定楼层
楼主
发表于 2014-3-12 12:24:46 | 只看该作者 |只看大图 回帖奖励 |正序浏览 |阅读模式
[p=22, null, left][font=arial][color=#696969][backcolor=transparent] [/backcolor][/color][/font][/p][p=22, null, left][font=arial][color=#696969]棱镜门事件后全球的安全专家都建议企业和应用尽可能低启用HTTPS(超文本传输协议和SSL/TLS的组合)加密web服务,例如电子邮件和社交网络,来确保数据隐私安全,使用HTTPS加密连接访问网站可以防止监听,监听者将无法了解你具体访问了哪些网页,从而确保个人隐私。[/color][/font][/p][p=22, null, left][font=arial][color=#696969]但是HTTPS(SSL/TLS)真的靠谱吗?[/color][/font][/p][p=22, null, left][font=arial][color=#696969]事实上[backcolor=transparent]SSL/TLS本身也存在安全漏洞[/backcolor],2013年安全专家发现采用CBC和RC4的SSL/TLS协议存在安全漏洞,而目前网络上大约50%的流量采用的是RC4进行加密。由于CBC模式的块加密和RC4式的流加密都出现了漏洞,并且有了现实的攻击手法,专家建议企业最好选择在SSL/TLS加密方式上选择更为安全的AES-GCM方式。[/color][/font][/p][p=22, null, left][font=arial][color=#696969]近日HTTPS的安全性又传来噩耗,加州伯克利大学大学的研究者们本周发布的论文《[backcolor=transparent]I Know Why You Went to the Clinic: Risks and Realization of HTTPS Traffic Analysis[/backcolor]》,显示,新的攻击可以通过分析加密数据流量分析出用户的个人隐私信息,甚至具体到健康问题,财务问题甚至性取向。[/color][/font][/p][p=22, null, left][font=arial][color=#696969]该论文基于此前的对SSL流量分析的研究,Tor和SSH隧道暴露的HTTPS的漏洞可导致队协议的精确攻击并泄露敏感的个人信息。[/color][/font][/p][p=22, null, left][font=arial][color=#696969]加州伯克利大学研究者采用了全新的攻击技术,测试分析了包括医疗、金融、法律和视频网站的600个知名网站的6000多个网页的加密流量数据特征,然后分析用户加密流量会话,通过高斯分布寻找加密流量之间的相似性,进而判断用户具体访问了哪个网页,新的攻击算法成功将HTTPS流量分析的错误率降低了三倍多,网页识别的 准确率提高到89%。但是研究者也发现了一种防御技术,通过加强HTTPS数据包的防护成功将流量分析的成功率降低了27%。[/color][/font][/p][p=22, null, left][font=arial][color=#696969]加州伯克利大学的发现表明,HTTPS的安全缺陷意味着网络服务商可以进行更加深入的用户数据挖掘,推送更加有针对性和倾略性的广告,企业主也能更有效的监控员工网络流量,对于专制体制的自由倡导者来说也意味着更大的风险。[/color][/font][/p]
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 马上注册

本版积分规则

毒镜头:老镜头、摄影器材资料库、老镜头样片、摄影
爱评测 aipingce.com  
快速回复 返回顶部 返回列表