Web安全之殇:HTTPS无法保护隐私
作者:星期一, 三月 10, 20140

HTTPS

棱镜门事件后全球的安全专家都建议企业和应用尽可能低启用HTTPS(超文本传输协议和SSL/TLS的组合)加密web服务,例如电子邮件和社交网络,来确保数据隐私安全,使用HTTPS加密连接访问网站可以防止监听,监听者将无法了解你具体访问了哪些网页,从而确保个人隐私。

但是HTTPS(SSL/TLS)真的靠谱吗?

事实上SSL/TLS本身也存在安全漏洞,2013年安全专家发现采用CBC和RC4的SSL/TLS协议存在安全漏洞,而目前网络上大约50%的流量采用的是RC4进行加密。由于CBC模式的块加密和RC4式的流加密都出现了漏洞,并且有了现实的攻击手法,专家建议企业最好选择在SSL/TLS加密方式上选择更为安全的AES-GCM方式。

近日HTTPS的安全性又传来噩耗,加州伯克利大学大学的研究者们本周发布的论文《I Know Why You Went to the Clinic: Risks and Realization of HTTPS Traffic Analysis》,显示,新的攻击可以通过分析加密数据流量分析出用户的个人隐私信息,甚至具体到健康问题,财务问题甚至性取向。

该论文基于此前的对SSL流量分析的研究,Tor和SSH隧道暴露的HTTPS的漏洞可导致队协议的精确攻击并泄露敏感的个人信息。

加州伯克利大学研究者采用了全新的攻击技术,测试分析了包括医疗、金融、法律和视频网站的600个知名网站的6000多个网页的加密流量数据特征,然后分析用户加密流量会话,通过高斯分布寻找加密流量之间的相似性,进而判断用户具体访问了哪个网页,新的攻击算法成功将HTTPS流量分析的错误率降低了三倍多,网页识别的 准确率提高到89%。但是研究者也发现了一种防御技术,通过加强HTTPS数据包的防护成功将流量分析的成功率降低了27%。

加州伯克利大学的发现表明,HTTPS的安全缺陷意味着网络服务商可以进行更加深入的用户数据挖掘,推送更加有针对性和倾略性的广告,企业主也能更有效的监控员工网络流量,对于专制体制的自由倡导者来说也意味着更大的风险。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章