基于WiFi的Web应用可能泄密

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

根据Errata Security公司(一家计算机安全公司)的研究,用户在通过WiFi访问Google的Gmail或Facebook这种社会公共网站时,他们的账户存在被劫持的风险。

Errata的首席执行官Robert Graham和技术总监David Maynor称,不只是这两个网站,所有与用户交互账户信息的网站,包括博客网站如Blogspot甚至提供软件服务注册下载的网站都可能存在这种风险。大多数Web网站在交互密码时会加密,但是由于效率的问题,浏览器与Web站点交互的其它信息通常是不加密的,Graham和Maynor针对这一问题写了一篇论文发表在本周拉斯维加斯举行的2007年黑客大会上。

利用包嗅探,就可以截获无线路由器与计算机之间传输数据,这样就可以在用户通过WiFi与Web站点建立连接时截获cookie信息。cookie包含一些Web站点发向浏览器的客户记忆信息,例如最后一次登陆时间等等。cookie中的信息也可能标示了某个连接会话,这是在用户登陆时产生的关于本次会话的唯一标识。通过包嗅探搜集到了cookie信息并截获了会话标识的话,就可以将这些数据注入到另一个浏览器,也就是说这时黑客就可以进入到该账户会话中了。由于Web2.0应用大都在修改密码时需要重登陆的原因,攻击者可能不会修改密码。但是,黑客在劫持了账户会话后,可以发布博客言论,读取电子邮件以及做一些其它形式的恶意行为。同时攻击者还可能将受害者访问的页面重定向另外一个页面,这种攻击被Errata称为“sidejacking”。

当然也有解决办法,Graham和Maynor在文章中写道,“解决办法就是用户永远不要通过WiFi热点进行账户登陆,除非是通过VPN(虚拟专有网络)或SSL(安全套结字)。”

标签: Google ssl 安全 电子邮件 网络 网站 问题 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:2011年全球宽带用户逾5.36亿

下一篇:腾讯公益门户网站上线