答案1
當使用不安全的網路時,HTTPS 無法針對知識淵博的攻擊者提供保護,尤其是對於同時使用 HTTP 和 HTTPS 的網站。
以下是一個例子:當您在網址列中輸入 facebook.com 時,您實際上正在啟動一個 HTTP 連線。然後,該網站會將您重新導向到 HTTPS 頁面。然而,位於您和 facebook.com 之間的攻擊者可以將此 HTTPS 重定向修改為 HTTP 重定向並竊取您的密碼,甚至將惡意軟體注入網站的回應中並感染您的電腦。
為避免這種情況,您可以輸入https://www.facebook.com而不是輸入facebook.com.您可以做的另一件事是將 facebook.com 的 HTTPS 頁面加為書籤並使用它而不是打字。
使用瀏覽器檢查網站的憑證是一個非常好的測試,但許多流行網站最近都發現其憑證被盜或偽造。駭客還可以使用與試圖訪問的網站名稱非常相似的網站名稱憑證,而隨意檢查將無法檢測到這些網站名稱。
即使是純 HTTPS 流量也可能受到攻擊和破解。在過去的幾年裡,出現了一系列駭客攻擊,其名稱如下:犯罪,獸,幸運13,SSL條和違反。
使用所謂的甲骨文技術,攻擊者可以使用壓縮來獲取有關加密訊息內容的重要線索。這是因為許多形式的加密(包括 HTTPS 中的加密形式)幾乎無法阻止攻擊者查看加密負載的大小。壓縮預言技術在尋找加密資料流中的小文字區塊(例如密碼(!))方面特別有效。
重要的是要了解攻擊者只需要在 HTTPS 封包通過網路時觀察它們,他可以透過安裝一個不安全的網路輕鬆地做到這一點嗅探器。
雖然這些攻擊都沒有完全破壞 HTTPS 提供的安全性,但它們凸顯了已有二十年歷史的 SSL 和 TLS 協議,甚至用於 HTTPS 加密的軟體庫的脆弱性。
使用 VPN 可以提供更好的保護,但只要攻擊者能夠觀察到您的電腦和網路之間傳遞的流量,您就不是絕對安全的。
雖然我上面概述的每項措施確實提高了安全性,但不能保證能夠防止攻擊者足智多謀,甚至可以使用尚不可知的攻擊方法。安全專家和瀏覽器總是比駭客落後一步。
最佳做法是不要在不安全的網路上輸入密碼等敏感資訊。即使憑證作為餅乾與網站提供「記住」登入選項的情況一樣,攔截網路訊息的攻擊者可以輕鬆提取這些 cookie。
Firefox 是一種可以偵測 HTTPS 何時被攔截並及時阻止您輸入憑證的工具視角附加元件。然而,它無法防止 HTTPS 透過嗅探器解密。
觀點描述為:
Perspectives 是一種新的、去中心化的方法,用於安全地識別網路伺服器。它透過「網路公證人」(位於網際網路上多個有利位置的伺服器)進行輕量級探測,自動建置伺服器身分資料庫。每次連接到安全網站時,Perspectives 都會將該網站的憑證與網路公證資料進行比較,並在不符時發出警告。這樣您就知道證書是否值得信任!使用 Perspectives 可以防止「中間人」攻擊,讓您可以使用自簽名證書,並幫助您相信您的連線確實是安全的。
答案2
請記住,當我使用 Kaspersky AV 時,Google 會透過我的 AV 憑證進行驗證。我使用了 3 個網站作為範例。 Google、Live.com 和 PayPal
若要手動仔細檢查站點證書,請執行以下操作:
Google:
直播網
貝寶
請務必點擊More Information以驗證證書沒有被欺騙。
答案3
實際上,檢查每個頁面的 SSL 狀態非常困難。SSL角色是一個 Firefox 擴展,它以非常明顯的方式向您展示網頁的安全性。它根據網站的 SSL 狀態變更 Firefox 主題。