Youtube 上存在 SSL 漏洞吗?

Youtube 上存在 SSL 漏洞吗?

我在 www.youtube.com 上找到了 https:// 前面的小金锁(灰色的)

该网站使用 SSL,但 Google Chrome 检测到页面上有不安全的内容。

我通过 Google 帐户登录 YouTube,在主页上,我注意到页面右侧有一些奇怪的建议,大多数都是另一种语言(东欧)。但是,我住在英国,从未看过与这些建议相关的任何视频。

我立即怀疑有人在外面使用我的 YouTube 帐户,于是我慌张地删除了该帐户。但我的 Google 帐户仍然有效。

我收到此声明可能是因为 Chrome 出现故障?还是因为其他更危险的原因?

我阅读了 SSL 的相关资料,了解了它的基本用途,因此我感到相当担心。

答案1

关于警告信息:

这仅意味着页面上存在不安全的内容,例如:

<img src="http://cdn.sstatic.net/superuser/img/favicon.ico" />

在页面上,有一些内容不是通过 SSL 传输给您的(图像)

没有关于键盘记录器的链接,它只意味着 http 中的图像没有加密发送给你。

但附带说明一下,如果内容不是 https 格式的,则更容易伪造,例如 YouTube 上有一个文件:

<script src="http://www.example.com/script.js"></script>

如果是 https 的话,就需要与 www.example.com 关联的证书,但在 http 中,你只会得到 dns 到 ip 的糟糕结果(dns 注入、添加行/etc/hosts,...)更容易(然后坏的那人可以发送任何他想要的“script.js”)。

(使用 https 也可以,但是坏的那人需要伪造证书并验证证书,这比较困难。)

关于您的问题:

我是否可能因为 chrome 故障而收到此声明?=> 不,页面上应该显示一些元素(图像、flash、css、脚本等),但不在 https 中。

或者更险恶的事情?=> 这是一个很小的可能性,但仅仅访问 Google 帐户可能有些牵强(但谨慎就是安全,所以更改密码和秘密问题可能是件好事)。

关于谷歌

YouTube你可以看到视频观看历史和搜索历史(但可以删除条目并将搜索历史设置为待机,因此即使这两个历史记录中没有任何可疑内容也不完全安全)

以同样的方式,但更好的是,在 gmail 中(如果你有一个 Gmail 帐户和你的谷歌帐户)有上次帐户活动它向您显示上次活动的时间、国家、IP 和方法。

所以在删除账户之前,你可以先查一下 ^^

关于wifi漏洞:

首先,https 中的所有内容都将被加密,因此即使您的无线连接非常松散,人们也无法解密对 https 内容的任何请求/回复。

其次坏的该人应该位于你的 wifi 热点的范围内。

所以我认为 wifi 漏洞(以及 https 中的网站)的唯一问题应该是您的计算机上同时存在漏洞,这将更容易向您注入 dns,或者直接在您的计算机上安装键盘记录器,...

相关内容