当前位置: 首页 > 图文教程 > 网页制作 > HTML/XHTML教程 > Google改进SSL机制,控制SSL安全机制存漏洞

HTML/XHTML教程
通过W3C XHTML1.0及CSS标准必须注意的九个问题
注意这11个问题保证CSS的渲染效率
用css+js定义input_file元素的样式来兼容FireFox
CSS技巧:如何使未知高宽的图片实现垂直居中
CSS基础教程:布局网页技巧的完全学习手册
css知识:Div和Span在使用中的不同之处
css技巧:批量保存div+css网页中的图片的几种方法
CSS技巧:常用的属性代码简化表
介绍二款b/s开发中常用小工具
css教程:IE6、IE7和FF的hack的运用技巧
Google改进SSL机制,控制SSL安全机制存漏洞
css技巧:分享9个网页制作常用技巧
规范Web站点设计css类以及id的命名方式
html教程:WEB标准从头开始_DOCTYPE声明
html/css教程:背景图片的定位问题详解
CSS教程:自动隐藏网页文字的技巧
汇总一些IE与Firefox的CSS兼容问题及解决办法
网页中利用Title属性的好处
40多个漂亮的网页表单设计实例
制作商业HTML邮件的建议

HTML/XHTML教程 中的 Google改进SSL机制,控制SSL安全机制存漏洞


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-05   浏览: 64 ::
收藏到网摘: n/a

安全人员已经发现“加密套接字协议层”(SSL)存在漏洞,黑客很容易通过Wi-Fi网络能够拦截那些貌似安全的网站通讯,目前,Google已经在着手改进SSL机制,而其他网站,像Facebook、雅虎邮件、Hotmail等保持沉默。Riverbed逆向工程师Mike Perry宣布,他发现网站用于安全保护的SSL机制存在漏洞。过去,很多网站过去在登录页面时没有使用SSL机制,这会让用户数据的cookies暴露给其他人。

Session cookies主要用于判断用户名和密码是否正确,它有两种模式,安全和非安全模式。Perry发现一些网站虽然使用了SSL加密,但这些网站不会判断用户cookies是否安全,这样一来,即使用户使用了https加密访问,黑客还是会利用局域网中的cookies拦截用户信息,登录其电子邮件、银行等服务账户。

SSL漏洞一直未得到有效弥补,直到一个月前,Google宣布Gmail用户可以自动将浏览器和Gmail服务器之间的通讯默认设置为加密通讯,从而无需再通过https://mail.google.com这一加密访问保护自己的账户安全。

Perry表示,他已经联系过Hotmail、Yahoo Mail、Facebook方面,但截止到上周五下午,这些网站都没有对此作出回应。

微软和雅虎方面表示,他们正在对问题进行评估,Facebook则没有对CNET的询问邮件进行回复。

Perry说,Amazon网站对涉及到支付的通讯进行加密,但对于购买历史以及评价未做加密。Amazon方面称,他们不会对加密方式进行评论。

Perry曾经宣布会在昨天公布相关的漏洞利用工具,这距离他在拉斯维加斯黑客大会上发布这一安全漏洞已有两周时间。他说,已经有另外一款漏洞利用工具出现。不过他现在表示,在和Google方面沟通后,他决定推迟公布这种工具。

Google是唯一一家对涉及到通讯的网站页面进行全部加密的大型网络公司