在这发布的问题是建议
您需要始终检查 SSL 连接是否在地址栏中显示为绿色和/或在使用不安全的 WiFi 时手动仔细检查证书是否有效。
如何执行“手动仔细检查”的建议,如果使用前 4 种浏览器之一,这是否有必要?
答案1
当使用不安全的网络时,HTTPS 无法防御知识渊博的攻击者,尤其是对于同时使用 HTTP 和 HTTPS 的网站。
举个例子:当你在地址栏中输入 facebook.com 时,你实际上是在启动一个 HTTP 连接。然后该网站会将你重定向到一个 HTTPS 页面。然而,一个位于你和 facebook.com 之间的攻击者可以将此 HTTPS 重定向修改为 HTTP 重定向并窃取你的密码,甚至将恶意软件注入网站的响应并感染你的计算机。
为避免这种情况,您可以输入https://www.facebook.com而不是facebook.com。您还可以做的一件事是将 facebook.com 的 HTTPS 页面添加到书签中,然后使用它来代替输入。
使用浏览器检查网站的凭证是一种很好的测试方法,但最近许多流行网站的凭证都被盗用或伪造。黑客还可以使用与要访问的网站名称非常相似的网站凭证,而这种随意的检查无法发现。
即使是纯 HTTPS 流量也可能受到攻击和破解。过去几年出现了一系列黑客攻击,例如犯罪,兽,幸运 13,SSL条和违反。
使用所谓的预言技术攻击者可以利用压缩来获取有关加密消息内容的关键线索。这是因为许多加密形式(包括 HTTPS 中的加密形式)几乎无法阻止攻击者看到加密有效负载的大小。压缩预言技术在从加密数据流中找出小块文本(例如密码)方面特别有效(!)。
重要的是要明白,攻击者只需要观察通过网络的 HTTPS 数据包,他可以在不安全的网络上轻松做到这一点,只需安装一个嗅探器。
虽然这些攻击都没有完全破坏 HTTPS 所提供的安全性,但它们凸显了已有二十年历史的 SSL 和 TLS 协议,甚至用于 HTTPS 加密的软件库的脆弱性。
使用 VPN 可以提供更好的保护,但是只要攻击者可以观察您的计算机和网络之间的流量,您就不是绝对安全的。
虽然我上面列出的每项措施确实提高了安全性,但并不能保证能够防范那些足智多谋甚至可能使用未知攻击方法的攻击者。安全专家和浏览器总是比黑客慢一步。
最佳做法是不要在不安全的网络上输入密码等敏感信息。即使凭证以饼干就像网站提供“记住”登录的选项一样,拦截网络消息的攻击者可以轻松提取这些 cookie。
有一种工具可以检测 HTTPS 何时被拦截,并及时阻止你输入凭据,那就是 Firefox观点附加组件. 但它无法防止 HTTPS 通过嗅探器解密。
观点描述如下:
Perspectives 是一种新的、分散式的安全识别互联网服务器的方法。它使用“网络公证人”的轻量级探测自动构建服务器身份数据库 - 服务器位于互联网上的多个有利位置。每次您连接到安全网站时,Perspectives 都会将网站的证书与网络公证人数据进行比较,并在出现不匹配时发出警告。这样您就知道证书是否值得信任!使用 Perspectives 可防止“中间人”攻击,让您使用自签名证书,并帮助您相信您的连接确实是安全的。
答案2
请记住,由于我使用卡巴斯基 AV,因此 Google 已通过我的 AV 证书进行验证。我使用了 3 个网站作为示例。Google、Live.com 和 PayPal
要手动仔细检查站点证书,请执行以下操作:
谷歌:
Live.com
PayPal
请务必More Information验证证书是否未被伪造。
答案3
实际上,检查每个页面的 SSL 状态太困难了。SSLPersonas是一款 Firefox 扩展,可以非常明显地显示网页的安全性。它会根据网站的 SSL 状态更改 Firefox 主题。