從Chrome 90開始，用戶將會被自動引導(dǎo)到任何網(wǎng)站的安全版本。這聽上去很好，但它或許并不像我們想象的那么好。

[[389951]]

HTTPS也可能保護(hù)釣魚網(wǎng)站

Chrome新版本的好處顯而易見。在新版本中，Chrome瀏覽器將默認(rèn)嘗試加載經(jīng)過傳輸層安全(TLS)保護(hù)的網(wǎng)站版本。這些網(wǎng)站在Chrome Omnibox中顯示出一個封閉的鎖，也就是我們大多數(shù)人所熟知的Chrome地址(URL)欄。但壞消息是，一個網(wǎng)站如果僅僅因為被HTTPS保護(hù)就完全信任它，是不合理的。

數(shù)年前，知名WordPress安全公司W(wǎng)ordFence發(fā)現(xiàn)，證書頒發(fā)機構(gòu)(CA)向冒充其他網(wǎng)站的釣魚網(wǎng)站頒發(fā)了SSL證書。因為這些證書是有效的，所以即使它們是釣魚網(wǎng)站，Chrome仍然會將這些網(wǎng)站報告為安全的網(wǎng)站。

當(dāng)然，CA不應(yīng)該向這些虛假網(wǎng)站辦法證書，然而事件已經(jīng)發(fā)生了，往者不可諫。據(jù)悉，這個名為Let's Encrypt的免費CA，曾被用來為非法使用 "PayPal "作為其名稱一部分的釣魚網(wǎng)站創(chuàng)建數(shù)千張SSL證書。

此外，零信任安全公司MetaCert的創(chuàng)始人兼首席執(zhí)行官、萬維網(wǎng)聯(lián)盟(W3C)URL分類標(biāo)準(zhǔn)的聯(lián)合創(chuàng)始人保羅·沃爾什認(rèn)為，如果認(rèn)為僅靠HTTPS就足以保證互聯(lián)網(wǎng)連接的安全，將會產(chǎn)生很多問題。

"當(dāng)基于DNS的安全服務(wù)剛推出時，大多數(shù)網(wǎng)絡(luò)都沒有加密，黑客也沒有使用谷歌、微軟、GitHub等可信的域名，所以它們在過去是有效的，但在今天就不那么有效了。"

在今天，82.2%的網(wǎng)站已經(jīng)被HTTPS保護(hù)。

理論上的巨人，行為上的矮子

除了上述存在的客觀情況，沃爾什認(rèn)為谷歌的執(zhí)行力也是一個問題。

他認(rèn)為，谷歌是理論上的巨人，行動上的矮子。他在分析網(wǎng)站安全時發(fā)現(xiàn)，基本的URL掛鎖是為了告訴用戶他們與網(wǎng)站的鏈接是加密的。但是，一個掛鎖并不代表任何信任或身份的信息。Chrome的UI設(shè)計師應(yīng)該讓網(wǎng)站身份更加明顯，比如在工具欄上設(shè)置一個單獨的圖標(biāo)來與掛鎖區(qū)別開。

換句話說，谷歌現(xiàn)在的設(shè)計，可以讓用戶“安全”地進(jìn)入一個釣魚網(wǎng)站，這樣的安全性不過是徒有其表罷了。

這種情況的發(fā)生不僅僅是因為那些擁有真實HTTPS證書的虛假網(wǎng)站。

Modlishka攻擊會在用戶和其想訪問的網(wǎng)站之間創(chuàng)建一個反向代理。它使用戶以為自己連接到了真實的網(wǎng)站，因為可以從合法的網(wǎng)站獲得真實的內(nèi)容，但反向代理默默地將用戶所有的流量重定向到Modlishka服務(wù)器。

這樣就導(dǎo)致了，用戶的憑證和敏感信息，如用戶輸入的密碼或加密錢包地址會自動傳遞給黑客。反向代理也會在網(wǎng)站提示要求用戶提供2FA令牌，黑客就可以實時收集這些2FA令牌，來訪問受害者的賬戶。

除此之外，沃爾什也完全不相信免費和簡易的HTTPS證書是一件好事。

在他看來，大量使用自動發(fā)放的免費DV證書的網(wǎng)絡(luò)攻擊已經(jīng)削弱了互聯(lián)網(wǎng)的可信計算基礎(chǔ)(TCB)。免費DV證書對網(wǎng)絡(luò)安全是一種生存威脅。

沃爾什認(rèn)為：

• CA應(yīng)該收緊他們的身份驗證過程;
• CA應(yīng)該減少獲取身份驗證的成本、時間和精力;
• 谷歌應(yīng)該為瀏覽器工具欄設(shè)計一個有意義的身份驗證圖標(biāo)區(qū)別于掛鎖;
• 谷歌應(yīng)該改善用戶體驗，使網(wǎng)站的真實身份能夠被直觀地顯示出來。

只有這樣，網(wǎng)絡(luò)才會走上真正安全的道路。

來源：zdnet