보안되지 않은 Wi-Fi에서 브라우저를 사용하기 위한 모범 사례 절차

tag-icon tag-icon wireless-networking security browser
보안되지 않은 Wi-Fi에서 브라우저를 사용하기 위한 모범 사례 절차

이것에게시된 질문조언이다

SSL 연결이 주소 표시줄에 녹색으로 표시되는지 항상 확인하거나 보안되지 않은 Wi-Fi를 사용할 때 인증서가 유효한지 수동으로 다시 확인해야 합니다.

"수동으로 다시 확인"하라는 조언을 어떻게 수행할 수 있으며, 상위 4개 브라우저 중 하나를 사용하는 경우에도 이것이 필요합니까?

답변1

보안되지 않은 네트워크를 사용하는 경우 HTTPS는 지식이 풍부한 공격자로부터 보호 기능을 제공하지 않으며 특히 HTTP와 HTTPS를 모두 사용하는 웹사이트의 경우 더욱 그렇습니다.

다음은 한 가지 예입니다. 주소 표시줄에 facebook.com을 입력하면 실제로 HTTP 연결이 시작됩니다. 그러면 사이트가 HTTPS 페이지로 리디렉션됩니다. 그러나 귀하와 facebook.com 사이에 적절하게 배치된 공격자는 이 HTTPS 리디렉션을 HTTP 리디렉션으로 수정하여 귀하의 비밀번호를 훔치거나 웹사이트의 응답에 악성 코드를 삽입하여 귀하의 컴퓨터를 감염시킬 수도 있습니다.

이런 상황을 피하기 위해 할 수 있는 일은 https://www.facebook.com대신 에 를 입력하는 것입니다 facebook.com. 또 다른 방법은 facebook.com의 HTTPS 페이지를 북마크로 유지하고 입력하는 대신 이를 사용하는 것입니다.

브라우저를 사용하여 사이트의 자격 증명을 확인하는 것은 매우 좋은 테스트이지만 최근 많은 유명 웹 사이트에서 자격 증명이 도난당하거나 위조되는 것을 목격했습니다. 해커는 접근하려는 웹 사이트 이름과 매우 유사하여 일반 검사로는 감지할 수 없는 웹 사이트 이름에 대한 자격 증명을 사용할 수도 있습니다.

순수한 HTTPS 트래픽도 공격을 받아 크랙될 수 있습니다. 지난 몇 년 동안 다음과 같은 이름을 가진 해킹의 판테온이 소개되었습니다.범죄,짐승,럭키 13,SSLStrip그리고위반.

으로 알려진 것을 사용하여오라클 기술, 공격자는 압축을 사용하여 암호화된 메시지 내용에 대한 중요한 단서를 얻을 수 있습니다. 이는 HTTPS에서 발견되는 암호화를 포함하여 다양한 형태의 암호화가 공격자가 암호화된 페이로드의 크기를 확인하는 것을 막는 데 거의 또는 전혀 효과가 없기 때문입니다. 압축 오라클 기술은 암호화된 데이터 스트림에서 비밀번호(!)와 같은 작은 텍스트 덩어리를 찾아내는 데 특히 효과적입니다.

공격자는 HTTPS 패킷이 네트워크를 통과할 때 관찰하기만 하면 되며, 보안되지 않은 네트워크에서도 이를 설치하여 쉽게 수행할 수 있다는 점을 이해하는 것이 중요합니다.손수건.

어떤 공격도 HTTPS가 제공하는 보안을 완전히 훼손하지는 않았지만 20년 된 SSL 및 TLS 프로토콜은 물론 HTTPS 암호화에 사용되는 소프트웨어 라이브러리의 취약성을 강조합니다.

VPN을 사용하면 더 나은 보호가 제공되지만 공격자가 컴퓨터와 네트워크 사이를 통과하는 트래픽을 관찰할 수 있는 한 절대적으로 안전하지는 않습니다.

위에 설명된 각 조치는 보안을 향상시키지만, 충분한 능력이 있거나 아직 알려지지 않은 공격 방법을 사용할 수도 있는 공격자로부터 보호한다는 보장은 없습니다. 보안 전문가와 브라우저는 항상 해커보다 한 발 뒤쳐져 있습니다.

가장 좋은 방법은 보안되지 않은 네트워크에 비밀번호와 같은 민감한 정보를 입력하지 않는 것입니다. 자격 증명이 다음과 같이 전달되는 경우에도쿠키, 웹사이트에서 로그온을 "기억"하는 옵션을 제공하는 경우와 마찬가지로 네트워크 메시지를 가로채는 공격자가 이러한 쿠키를 쉽게 추출할 수 있습니다.

HTTPS가 가로채는 시기를 감지하고 제때에 자격 증명을 입력하지 못하도록 방지할 수 있는 도구 중 하나는 Firefox입니다.관점 추가 기능. 그러나 스니퍼를 통해 HTTPS가 해독되는 것을 방지할 수는 없습니다.

관점은 다음과 같이 설명됩니다.

Perspectives는 인터넷 서버를 안전하게 식별하기 위한 새로운 분산형 접근 방식입니다. 이는 "네트워크 공증인"(인터넷의 여러 유리한 지점에 위치한 서버)의 경량 검색을 사용하여 서버 ID 데이터베이스를 자동으로 구축합니다. 보안 웹사이트에 연결할 때마다 Perspectives는 사이트의 인증서를 네트워크 공증 데이터와 비교하고 불일치가 있으면 경고합니다. 이렇게 하면 인증서를 신뢰할 수 있는지 알 수 있습니다! Perspectives를 사용하면 "중간자" 공격을 방지하고 자체 서명된 인증서를 사용할 수 있으며 연결이 실제로 안전하다는 것을 신뢰할 수 있습니다.

답변2

Kaspersky AV를 사용하면 Google이 내 AV 인증서로 확인된다는 점을 명심하세요. 예시로 3개의 사이트를 사용했습니다. Google, Live.com 및 PayPal

사이트 인증서를 수동으로 다시 확인하려면 다음을 수행하십시오.

Google:

구글 SSL 확인 Google SSL 이중 확인

라이브닷컴

Live.com SSL 확인 Live.com SSL 이중 확인

페이팔

페이팔 SSL 확인 PayPal SSL 이중 확인

More Information인증서가 스푸핑되지 않았는지 확인하려면 항상 누르십시오 .

답변3

실제로 모든 페이지의 SSL 상태를 확인하는 것은 너무 어렵습니다.SSL페르소나는 웹페이지가 얼마나 안전한지 매우 분명한 방식으로 보여주는 Firefox 확장 프로그램입니다. 웹사이트의 SSL 상태에 따라 Firefox 테마를 변경합니다.

답변4

  1. 이 애드온을 설치하세요: SSL 유효성 검사

    애드온은 SSL 연결의 강도를 평가합니다

이: HTTP에서 HTTPS로

  1. 찾아보세요ssh_proxy

관련 정보