Https能避免流量劫持吗?

答案是能!但前提是必须用受信任的SSL证书

不同于简单的Http代理,HTTPS服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认,而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时,大多用户不明白是什么情况,就点了继续,导致允许了伪证书,HTTPS流量因此遭到劫持。

如果重要的账户网站遇到这种情况,无论如何都不该点击继续。

这里所说的权威CA机构是指已经通过WebTrust国际认证,根证书由微软预置,受微软等各类操作系统、主流移动设备和浏览器信任的CA机构;在中国还要附加一项,就是要拿到工信部许可的CA牌照;这样的CA机构,才有权利签发各类数字证书。

自签证书是指不受信任的任意机构或个人,自己随意签发的证书,容易被伪造替换。

原文地址:https://blog.51cto.com/14377747/2410873

时间: 2024-10-10 10:48:37

Https能避免流量劫持吗?的相关文章

HTTPS 能否避免流量劫持?

近日,看了一篇关于流量劫持的文章<安全科普:流量劫持能有多大危害?>,作者EtherDream以图文并茂的形式详细讲解了流量劫持及相关知识."在如今这个讲究跨平台.体验好,并有云端支持的年代,WebApp 越来越火热.各种应用纷纷移植成网页版,一些甚至替代了客户端.同时,也造就了流量劫持前所未有的势头."小编总结,这里提到的流量劫持危害,大多跟Http明文传输协议的薄弱有关系. 我们来看看流量劫持会带来什么危害? 不同的劫持方式,获得的流量也有所差异.DNS 劫持,只能截获

HTTPS-能否避免流量劫持

流量劫持是什么? EtherDream在一篇科普文章<安全科普:流量劫持能有多大危害?>中详细介绍了流量劫持途径和方式. 流量劫持是一种古老的攻击方式,比如早已见惯的广告弹窗等,很多人已经对此麻木,并认为流量劫持不会造成什么损失.而事实上,流量劫持可以通过多种你无法觉察的方式,暗中窃取帐号密码.谋财盗号! 常见的流量劫持方式 Hub 嗅探.MAC 欺骗.MAC 冲刷.ARP 攻击.DHCP 钓鱼.DNS 劫持.CDN 入侵.路由器弱口令.路由器 CSRF.PPPoE 钓鱼.PPPoE 钓鱼.W

流量劫持别抵制了,全站HTTPS是王道!

为什么自己的访问行为和隐私数据突然会被偷走?为什么域名没输错,结果却跑到了一个钓鱼网站上?用户数据泄露.流量劫持.页面篡改等安全事件频发.继百度全站启用HTTPS加密后... 为什么自己的访问行为和隐私数据突然会被"偷走"?为什么域名没输错,结果却跑到了一个钓鱼网站上?用户数据泄露.流量劫持.页面篡改等安全事件频发. 继百度全站启用HTTPS加密后,阿里巴巴旗下的淘宝网&天猫商城也全站启用HTTPS.而Google在过去的几年里,将Google搜索.Gmail.YouTube等

流量劫持频发,用https解决

相信很多人都遇见过域名没输错,结果却跑到了一个钓鱼网站上这样的情况,用户数据泄露.流量劫持.页面篡改等安全事件频发. 面对这样的情况,使用IIS7网站监控,把域名输入进行检查,看是不是有被劫持和DNS污染的情况发现,用此方法进行实时检查是有必要的. 继百度全站启用HTTPS加密后,阿里巴巴旗下的淘宝网&天猫商城也全站启用HTTPS.而Google在过去的几年里,将Google搜索.Gmail.YouTube等产品从HTTP协议改为加密的HTTPS版协议,其在2015年12月宣布将调整Google

安全-流量劫持能有多大危害?

上一篇文章(安全-流量劫持形成的原因),介绍了常见的流量劫持途径.然而无论用何种方式获得流量,只有加以利用才能发挥作用. 不同的劫持方式,获得的流量也有所差异.DNS 劫持,只能截获通过域名发起的流量,直接使用 IP 地址的通信则不受影响;CDN 入侵,只有浏览网页或下载时才有风险,其他场合则毫无问题;而网关被劫持,用户所有流量都难逃魔掌. 在本文中,我们通过技术原理,讲解如下问题: - 为什么喜欢劫持网页?- 只浏览不登陆就没事吗?- 自动填写表单有风险吗?- 离开劫持环境还受影响吗?- 使用

运营商流量劫持攻击之链路劫持剖析

运营商流量劫持攻击之链路劫持剖析 0x00 前言 链路劫持属于流量劫持攻击的一种,在电商领域较为常见,网络上也有不少案例.本文作者将会结合公司实际发生的案例来简要剖析链路劫持有关技术.由于作者水平有限,见解浅显在所难免,望大牛勿喷,如有描述不当之处望各路看官批评指正. 0x01 劫持案例分析 案例现象描述: 有用户反馈访问公司部分业务的URL时被重定向至公司其他业务的URL,导致用户无法请求所需的服务,严重影响了用户体验以及用户利益.我们第一时间通过远控的方式复现了上述现象,并及时抓取了相关数据

流量劫持 —— 浮层登录框的隐患

传统的登录框 在之前的文章流量劫持危害详细讲解了 HTTP 的高危性,以至于重要的操作都使用 HTTPS 协议,来保障流量在途中的安全. 这是最经典的登录模式.尽管主页面并没有开启 HTTPS,但登录时会跳转到一个安全页面来进行,所以整个过程仍是比较安全的 —— 至少在登录页面是安全的. 对于这种安全页面的登录模式,黑客硬要下手仍是有办法的.在之前的文章里也列举了几种最常用的方法:拦截 HTTPS 向下转型.伪造证书.跳转钓鱼网站. 其中转型 HTTPS 的手段最为先进,甚至一些安全意识较强的用

Web如何应对流量劫持?

虽然互联网经过多年的发展,可是网站使用的底层协议仍是 HTTP,HTTP 作为一种明文传播协议,所有的传输数据都是明文,我们都知道在通信中使用明文(不加密) 内容可能会被窃听,同时网站存在被劫持的风险. 上篇<网站莫名跳转,从百度谈什么是网站劫持?>中我们讲到了搜索引擎劫持.网络劫持.浏览器劫持.路由器劫持等常见的网站劫持,面对多种方式的网站劫持,我们应该如何应对? 限制网站权限 部分网站遭遇劫持主要由于非法服务器获取了 Web 网站文件及文件夹的读写权限,针对这个问题,我们可以利用服务器的安

Linux-某电商网站流量劫持案例分析与思考

[前言] 自腾讯与京东建立了战略合作关系之后,笔者网上购物就首选京东了.某天在家里访问京东首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到京东,心里第一个反应就是中木马了. 竟然有这样的事,一定要把木马大卸八块. [原因排查] 首先在重现的情况下抓包,京东官网确实返回了一段Java让浏览器跳转到了yiqifa.com. 下图是应用层的抓包. 服务器返回的代码导致跳转,基本可以排除本地木马,推测是网络或者服务器的问题.根据笔者的经验,这种情况很大可能是链路上的流量劫持攻击.当然也不能排除京