世界最大色情網(wǎng)站 Pornhub 用 HTTPS 數(shù)據(jù)加密。午休時間,小 A 戴著眼鏡在辦公室,盯著屏幕一臉緊張。
“哎呀,小 A 真不錯啊,休息時間還這么積極開展工作?!?/span>
領(lǐng)導繞到了小 A 身后,準備嘉獎一番。
只見電腦屏幕上出現(xiàn)了不可描述的網(wǎng)站。
小A 一驚,結(jié)結(jié)巴巴地解釋,“領(lǐng)導,我剛查資料,不知道怎么打開一個網(wǎng)站,就跳轉(zhuǎn)到了這個網(wǎng)站”。
領(lǐng)導看了一眼瀏覽器地址欄上的“綠色小鎖”,真相了然于胸。
領(lǐng)導看到“綠色小鎖”應(yīng)該是下面這一把:
(上班時間打開這個網(wǎng)站,雷鋒網(wǎng)編輯略有壓力)
對了,這就是世界上最大的色情網(wǎng)站Pornhub 。最近, Pornhub 和其姐妹網(wǎng)站 YouPorn 了采用 HTTPS 網(wǎng)頁加密技術(shù),因此,只要你打開這兩家的網(wǎng)址,地址欄就會出現(xiàn)這把“綠色小鎖”。
事實上,只要看到這把“綠色小鎖”,基本能保證“你連接的是你想要連接的網(wǎng)站”。小 A 的詭辯因此被洞察……
HTTPS 是什么?老司機為什么加上“綠色小鎖”
上羞羞網(wǎng)站被抓包,你害怕它的后果嗎?2016年,曾發(fā)生過三起比較嚴重的色情網(wǎng)站信息泄露事件。
2016年5月,著名黑客 Peace in Mind(內(nèi)心的平靜)在著名暗網(wǎng)黑市 The Real Deal 掛出了一個“爆款”商品,那就是 4000萬 Fling 的用戶注冊信息。包括所有用戶的郵箱地址、注冊名、明文密碼、歷史登陸IP地址以及生日。
2016年10月,成人約會和娛樂公司 Friend Finder Network 經(jīng)歷一次最大規(guī)模黑客攻擊,導致超過4.12億的賬戶信息泄露。該公司旗下有號稱 “全世界最大約炮社區(qū)”的 Adult Friend Finder,以及 penthouse 等其他幾個成人網(wǎng)站 。
2016年11月,成人網(wǎng)站 xHamster 有超過 380000 的用戶數(shù)據(jù)在網(wǎng)絡(luò)地下黑市被公開售賣,其中包括用戶名、電子郵件地址以及經(jīng)過 MD5 哈希密碼,令人咋舌的是,其中還包含了美國軍方以及英國等多國政府郵箱。
輕則有人購買這些信息給你推送相關(guān)羞羞廣告,重則竊取信息,造成重大財務(wù)損失,還有更嚴重的,想必你可能在神劇《黑鏡》里看過,以隱私信息相要挾,家破人亡也是有可能的。更甚者,你看,上面還有政府信息泄露。
采用 HTTPS 網(wǎng)頁加密,加上“綠色小鎖”有什么用?雷鋒網(wǎng)曾在這樣一篇文章 (公眾號:雷鋒網(wǎng))曾在這樣一篇文章《想看小黃片卻擔心被抓包?這些網(wǎng)站能讓老司機放心“開車”》中就有探討: “使用 HTTPS,你的 ISP (互聯(lián)網(wǎng)服務(wù)供應(yīng)商)就不會知道你在色情網(wǎng)站上干了些什么,即使是政府和間諜也不能辦到,因為這些信息是加密的。至于完整性,部署 HTTPS 可以防止第三方,或 ISP 惡意軟件的注入。事實上,我們已經(jīng)在自己的頁面上實現(xiàn)了 HTTPS 加密。”美國民主與技術(shù)中心 CDT 首席技術(shù)專家 Joseph Hall 表示。">《想看小黃片卻擔心被抓包?這些網(wǎng)站能讓老司機放心“開車”》 中就有探討:
“使用 HTTPS,你的 ISP (互聯(lián)網(wǎng)服務(wù)供應(yīng)商)就不會知道你在色情網(wǎng)站上干了些什么,即使是政府和間諜也不能辦到,因為這些信息是加密的。至于完整性,部署 HTTPS 可以防止第三方,或 ISP 惡意軟件的注入。事實上,我們已經(jīng)在自己的頁面上實現(xiàn)了 HTTPS 加密。”美國民主與技術(shù)中心 CDT 首席技術(shù)專家 Joseph Hall 表示。
先不要一臉懵逼??纯礊槭裁?Pornhub 為什么要拋棄 HTTP,轉(zhuǎn)投 HTTPS 的懷抱。
超文本傳輸協(xié)議 HTTP 協(xié)議被用于在 Web 瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息。也就是說,它是一個“傳聲筒”。但是,HTTP 協(xié)議以明文方式發(fā)送內(nèi)容,不提供任何方式的數(shù)據(jù)加密,如果攻擊者截取了 Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報文,就可以直接讀懂其中的信息,因此 HTTP 協(xié)議不適合傳輸一些敏感信息,比如信用卡號、密碼等。
為了解決 HTTP 協(xié)議的這一缺陷,安全套接字層超文本傳輸協(xié)議 HTTPS 應(yīng)運而生。為了數(shù)據(jù)傳輸?shù)陌踩?,HTTPS 在 HTTP 的基礎(chǔ)上加入了 SSL 協(xié)議,SSL 依靠證書來驗證服務(wù)器的身份,并為瀏覽器和服務(wù)器之間的通信加密。
HTTPS 和 HTTP 的區(qū)別主要為以下四點:
HTTPS 協(xié)議需要到 CA 申請證書,一般免費證書很少,需要交費。
HTTP 是超文本傳輸協(xié)議,信息是明文傳輸,HTTPS 則是具有安全性的 SSL 加密傳輸協(xié)議。
HTTP 和 HTTPS 使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
HTTP 的連接很簡單,是無狀態(tài)的,HTTPS 協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議,比 HTTP 協(xié)議安全。
“說人話”的版本是, HTTPS 可以保證——
你瀏覽的頁面的內(nèi)容如果被人中途看見,將會是一團亂碼。
你瀏覽的頁面就是你想瀏覽的,不會被黑客在中途修改,網(wǎng)站收到的數(shù)據(jù)包也是你最初發(fā)的那個,不會把你的數(shù)據(jù)給換掉,搞出一個大新聞。
你連接的是你想要連接的網(wǎng)站,不會出現(xiàn)有人中途偽造一個網(wǎng)站給你。
{C}這意味著,你在看羞羞的網(wǎng)站內(nèi)容時,這些內(nèi)容不會因為被人偷偷截取被發(fā)現(xiàn),也不會明明要看羞羞的網(wǎng)站,卻上了一個你不需要的賣壯陽藥的網(wǎng)站。
HTTPS 工作原理:兩位“地下黨”接頭紀實一名久經(jīng)考驗的老地下黨員終于要見到同志了,他們甩掉了跟蹤他們的耳目,在一個隱秘的小巷,說一聲“天龍蓋地虎”,對方答“寶塔鎮(zhèn)河妖”,成功對接,互道一聲“同志你好”。
這就是 HTTPS 在傳輸數(shù)據(jù)之前需要瀏覽器與服務(wù)端(網(wǎng)站)之間進行一次“握手”,在握手過程中確立雙方加密傳輸數(shù)據(jù)的密碼信息。
對,這并不是正式傳遞內(nèi)容,只是“加好友”。兩個互相不能信任的人開始了試探……
當然, HTTPS 使用的接頭暗號絕對不是這么簡單。他們使用的“密碼本”比戰(zhàn)爭時期的更難破譯。 “接頭暗號”TLS/SSL協(xié)議不僅僅是一套加密傳輸?shù)膮f(xié)議,更是一件經(jīng)過藝術(shù)家精心設(shè)計的藝術(shù)品,因為 TLS/SSL中使用了非對稱加密、對稱加密以及哈希算法。
全世界只有一種“加密的執(zhí)著”可以和上面的加密程度媲美——情侶們?yōu)榍筇扉L地久一層一層地往樹上掛滿同心結(jié),往橋上加鎖。
兩位“地下黨”是這么接頭的:
1.瀏覽器將自己支持的一套加密規(guī)則發(fā)送給網(wǎng)站。2.網(wǎng)站從中選出一組加密算法與哈希算法,并將自己的身份信息以證書的形式發(fā)回給瀏覽器。證書里面包含了網(wǎng)站地址,加密公鑰,以及證書的頒發(fā)機構(gòu)等信息。3.兩人交換信物,開始驗證信物。 獲得網(wǎng)站證書之后,瀏覽器要 驗證證書的合法性,比如,頒發(fā)證書的機構(gòu)是否合法,證書中包含的網(wǎng)站地址是否與正在訪問的地址一致等。
如果證書受信任,則瀏覽器欄里面會顯示一個小鎖頭,否則會給出證書不受信的提示。如果 證書受信任,或者是用戶接受了不受信的證書,瀏覽器會生成一串隨機數(shù)的密碼,并用證書中提供的公鑰加密。
然后兩位同志使用約定好的哈希計算消息,使用生成的隨機數(shù)對消息進行加密,最后將之前生成的所有信息發(fā)送給網(wǎng)站。
一方發(fā)出了好友認證申請……
4.網(wǎng)站接收瀏覽器發(fā)來的數(shù)據(jù)后,開始了瘋狂解密的過程。
首先,它使用自己的私鑰將信息解密取出密碼,使用密碼解密瀏覽器發(fā)來的握手消息,并驗證哈希是否與瀏覽器發(fā)來的一致。
然后,使用密碼加密一段握手消息,發(fā)送給瀏覽器。
5.瀏覽器解密并計算握手消息的哈希,如果與服務(wù)端發(fā)來的哈希一致,此時握手結(jié)束,之后所有的通信數(shù)據(jù)將由之前瀏覽器生成的隨機密碼并利用對稱加密算法進行加密。
這里瀏覽器與網(wǎng)站互相發(fā)送加密的握手消息并驗證,目的是為了保證雙方都獲得了一致的密碼,并且可以正常的加密解密數(shù)據(jù),為后續(xù)真正數(shù)據(jù)的傳輸做一次測試。
這是互相試探的前奏,只有認證成功,他們才真正開始傳輸。
接受好友申請,他們即將開展友好往來……
有 HTTPS 就能放心開車?
就當羞羞網(wǎng)站張開懷抱擁抱 HTTPS ,你以為萬事大吉,可以放心嘿嘿嘿時,還有一些小插曲可能會讓你心生疑慮。
(并不是這個問題)
外媒 wordfence 曾有一篇文章指出: 在許多假冒知名公司的釣魚網(wǎng)站中,如假冒 Google、微軟、蘋果等,所使用的 SSL 證書來自多個認證機構(gòu)(CA)的頒發(fā)。 Chrome 瀏覽器只對 SSL 證書的有效性進行判斷,如果有效則直接將網(wǎng)站顯示為“安全”。
即使網(wǎng)站證書已被 CA 認證機構(gòu)撤銷,Chrome 瀏覽器仍將站點標識為“安全”。已撤銷”狀態(tài)僅在 Chrome 開發(fā)人員工具中可見。而 已發(fā)布有效 SSL 證書的惡意網(wǎng)站,需要一段時間后才會被拉入Chrome 的惡意網(wǎng)站列表中。
這是CA 證書失效延遲可能造成的后果。
知乎計算機問題優(yōu)秀答主“車小胖”認為: HTTPS 并不是 100% 絕對可靠。
“斯諾登暴露出,針對IPsec,TLS的密鑰交換所依賴的Diffie-Hellman算法攻擊,即通過離線的超級計算機預(yù)先計算出海量的公鑰、私鑰對,一旦嘗試出私鑰就會得到Master Key,進而推導出session key,這樣歷史數(shù)據(jù)、現(xiàn)在、將來的數(shù)據(jù)全可以解密。
{C}
以上是被動攻擊方式,針對數(shù)字證書欺騙則屬于主動攻擊,可以實時地解密用戶數(shù)據(jù)。但種種主、被動攻擊難度都很高,往往是以國家意志為源動力,而不是一些小團體所能完成的。”
雷鋒網(wǎng)編輯還檢索到,在一則《“凈廣大師”病毒 HTTPS 劫持技術(shù)深度分析》的文章中,還有病毒”劫持”SSL 證書的案例。
該病毒是通過代理的方式,以中間人攻擊的形式來劫持 HTTPS 流量。當瀏覽器訪問某度時,病毒驅(qū)動會將連向某度(61.135.169.125) 443端口 (HTTPS) 的鏈接重定向到本地的 10100 監(jiān)聽端口,explorer 中的病毒代碼再代替瀏覽器發(fā)起與遠端Web服務(wù)器的鏈接進行通訊。該病毒同時通過自己攜帶的證書分別與瀏覽器和遠端 Web 服務(wù)器完成 SSL 握手,進而以中間人攻擊的形式完全控制 HTTPS 鏈路通信。
如果你還注意到這句話——“HTTPS 協(xié)議需要到 CA 申請證書,一般免費證書很少,需要交費”,就會發(fā)現(xiàn)“HTTPS ,不是你想用就能用”。因此,一些免費發(fā)送證書的機構(gòu)應(yīng)運而生。
免費的午餐被利用時,用戶吃到的可能是蒼蠅。
比如,非營利網(wǎng)絡(luò)認證發(fā)放機構(gòu) Let's Encrypt 推出了開源免費的HTTPS認證服務(wù)。不過,據(jù)中關(guān)村在線報道,近期有專家發(fā)現(xiàn),Let's Encrypt 發(fā)放的認證證書有被濫用的趨勢。該報道還指出“迄今已發(fā)行15270個內(nèi)含 PayPal 字樣的證書,當中約有 96.7 %被用于釣魚網(wǎng)站,這表示約有 14766 個釣魚網(wǎng)站已經(jīng)擁有與 PayPal 相關(guān)的證書”。
最后,照顧到部分看上去“什么技術(shù)也不懂”的 Pornhub 等類似網(wǎng)站用戶的需求,雷鋒網(wǎng)編輯向一位資深互聯(lián)網(wǎng)從業(yè)人士請教了實操建議:
在不考慮 CA 證書失效的基礎(chǔ)上,直接在地址欄里面輸入的 HTTPS 是安全的,跳轉(zhuǎn)的 HTTPS 不一定安全。也就是說,訪問一個 HTTP 的鏈接,網(wǎng)站跳轉(zhuǎn)到 HTTPS 還是可能被劫持,所以訪問時最好確認第一次打開的地址欄里就帶 HTTPS 。
HTTPS 安全也是假定你的電腦沒有被入侵,是干凈的。如果你電腦已經(jīng)被控制了,那就沒什么安全可言了。
跳轉(zhuǎn) HTTPS 的場景大量存在,不是資深用戶的話不要輕易相信公共場所無線AP的安全性,即使用 HTTPS。