从Chrome 90开始,用户将会被自动引导到任何网站的安全版本。这听上去很好,但它或许并不像我们想象的那么好。
HTTPS也可能保护钓鱼网站
Chrome新版本的好处显而易见。在新版本中,Chrome浏览器将默认尝试加载经过传输层安全(TLS)保护的网站版本。这些网站在Chrome Omnibox中显示出一个封闭的锁,也就是我们大多数人所熟知的Chrome地址(URL)栏。但坏消息是,一个网站如果仅仅因为被HTTPS保护就完全信任它,是不合理的。
数年前,知名WordPress安全公司WordFence发现,证书颁发机构(CA)向冒充其他网站的钓鱼网站颁发了SSL证书。因为这些证书是有效的,所以即使它们是钓鱼网站,Chrome仍然会将这些网站报告为安全的网站。
当然,CA不应该向这些虚假网站办法证书,然而事件已经发生了,往者不可谏。据悉,这个名为Let's Encrypt的免费CA,曾被用来为非法使用 "PayPal "作为其名称一部分的钓鱼网站创建数千张SSL证书。
此外,零信任安全公司MetaCert的创始人兼首席执行官、万维网联盟(W3C)URL分类标准的联合创始人保罗·沃尔什认为,如果认为仅靠HTTPS就足以保证互联网连接的安全,将会产生很多问题。
"当基于DNS的安全服务刚推出时,大多数网络都没有加密,黑客也没有使用谷歌、微软、GitHub等可信的域名,所以它们在过去是有效的,但在今天就不那么有效了。"
在今天,82.2%的网站已经被HTTPS保护。
理论上的巨人,行为上的矮子
除了上述存在的客观情况,沃尔什认为谷歌的执行力也是一个问题。
他认为,谷歌是理论上的巨人,行动上的矮子。他在分析网站安全时发现,基本的URL挂锁是为了告诉用户他们与网站的链接是加密的。但是,一个挂锁并不代表任何信任或身份的信息。Chrome的UI设计师应该让网站身份更加明显,比如在工具栏上设置一个单独的图标来与挂锁区别开。
换句话说,谷歌现在的设计,可以让用户“安全”地进入一个钓鱼网站,这样的安全性不过是徒有其表罢了。
这种情况的发生不仅仅是因为那些拥有真实HTTPS证书的虚假网站。
Modlishka攻击会在用户和其想访问的网站之间创建一个反向代理。它使用户以为自己连接到了真实的网站,因为可以从合法的网站获得真实的内容,但反向代理默默地将用户所有的流量重定向到Modlishka服务器。
这样就导致了,用户的凭证和敏感信息,如用户输入的密码或加密钱包地址会自动传递给黑客。反向代理也会在网站提示要求用户提供2FA令牌,黑客就可以实时收集这些2FA令牌,来访问受害者的账户。
除此之外,沃尔什也完全不相信免费和简易的HTTPS证书是一件好事。
在他看来,大量使用自动发放的免费DV证书的网络攻击已经削弱了互联网的可信计算基础(TCB)。免费DV证书对网络安全是一种生存威胁。
沃尔什认为:
- CA应该收紧他们的身份验证过程;
- CA应该减少获取身份验证的成本、时间和精力;
- 谷歌应该为浏览器工具栏设计一个有意义的身份验证图标区别于挂锁;
- 谷歌应该改善用户体验,使网站的真实身份能够被直观地显示出来。
只有这样,网络才会走上真正安全的道路。
来源:zdnet