从Chrome90开始,用户将被自动定向到任何网站的安全版本。这听起来不错,但可能没有我们想象的那么好。HTTPS还可以防御钓鱼网站新版Chrome的好处是显而易见的。在新版本中,默认情况下,Chrome浏览器将尝试加载受传输层安全性(TLS)保护的网站版本。这些网站在ChromeOmnibox中显示为关闭锁,我们大多数人都将其称为Chrome地址(URL)栏。但坏消息是,仅仅因为一个网站受HTTPS保护就完全信任它是不合理的。几年前,著名的WordPress安全公司WordFence发现证书颁发机构(CA)向冒充其他网站的钓鱼网站颁发SSL证书。由于这些证书有效,Chrome仍会报告这些网站是安全的,即使它们是钓鱼网站。CA当然不应该给这些假冒网站颁发证书,但是事情已经发生了,过去的事不能再谏了。据了解,免费的CA名为Let'sEncrypt,已被用于为非法使用“PayPal”作为其名称一部分的钓鱼网站创建数千个SSL证书。此外,零信任安全公司MetaCert的创始人兼首席执行官、万维网联盟(W3C)URL分类法的联合创始人保罗沃尔什认为,如果认为仅HTTPS就足以保护互联网连接,那么将会有问题。很多问题。“当基于DNS的安全服务首次出现时,大部分网络都没有加密,黑客也没有使用像谷歌、微软、GitHub等受信任的域,所以他们在过去工作,但今天没那么多了.“今天,82.2%的网站都受HTTPS保护。理论上的巨人,行为上的侏儒除了上述客观条件外,沃尔什认为谷歌的执行力也是一个问题。他认为谷歌是理论上的巨人,行动上的侏儒。在分析网站安全性时,他发现基本的URL挂锁旨在告诉用户他们的网站链接已加密。但是,挂锁并不代表任何信任或身份信息。Chrome的UI设计者应该让网站的身份更加明显,比如在工具栏上设置一个单独的图标,以区别于挂锁。换言之,谷歌目前的设计是让用户“安全”进入钓鱼网站,这种安全不过是表面现象。发生这种情况不仅仅是因为具有真实HTTPS证书的虚假网站。Modlishka攻击在用户和他们想要访问的网站之间创建了一个反向代理。它会诱使用户认为他们已连接到真实网站,因为真实内容可从合法网站获得,但反向代理会默默地将用户的所有流量重定向到Modlishka服务器。因此,用户凭据和敏感信息(例如用户输入的密码或加密的钱包地址)会自动传递给黑客。反向代理还会提示用户在网站上提供2FA令牌,黑客可以实时收集这些2FA令牌来访问受害者的账户。除此之外,沃尔什也完全不相信免费和简单的HTTPS证书是一件好事。在他看来,使用自动颁发的免费DV证书的广泛网络攻击削弱了互联网的可信计算基础(TCB)。免费DV证书是对网络安全的生存威胁。Walsh认为:CA应该加强他们的认证过程;CA应减少获得身份验证的成本、时间和精力;谷歌应该为浏览器工具栏设计一个有意义的身份验证图标,以区别于挂锁;谷歌应该改善用户体验,让网站的真实身份能够直观地展现出来。只有这样,网络才会走上真正安全的道路。来源:zdnet
