Linux中國

多達 95% 的 HTTPS 鏈接能被黑客劫持

95% 的 HTTPS 連接處於風險中

據最近的 Netcraft study 報告數據顯示,當前多達 95% 的伺服器所運行的 HTTPS 沒有正確地設置 HSTS 或其它配置,以至於將 HTTPS 連接暴露於上述攻擊風險之中。

更值得注意的是,Netcraft 在三年前進行的同樣掃描,不正確配置的 HSTS 比例仍同現在一樣。這表明 Web 管理員們並沒有學會或被告知如何正確地設置 HSTS

針對這些不安全的站點的最容易的攻擊場景是 HTTPS 降級攻擊,攻擊者可以選擇多種方式來迫使一個看起來安全的 HTTPS 連接根本不使用數據加密或使用更弱的演算法,這樣攻擊者就可以進行數據竊取了。

據安全研究人員稱,在這 95% 的沒有正確設置 HSTS 的站點中,有很多銀行和金融機構的網站。

你可以通過下面一行配置激活你的 HSTS

不需要費腦筋,你只需要將下述的一行配置添加到你的 HTTPS 伺服器配置中即可實現 HSTS。

Strict-Transport-Security: max-age=31536000;

這一行可以讓伺服器告訴瀏覽器僅通過 HTTPS 連接來訪問其內容,其策略有效期為長達一年的最大有效時間。

當上述配置生效後,即便用戶在他的瀏覽器中輸入 URL 時寫了 「http://」前綴,瀏覽器仍將會自動切換「https://」。

更多關於 HTTPS 及 HSTS 的技術實現細節,請參閱以下文章:


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國