这三种方法的实现条件是用户在公开网络下使用非加密的方式访问过普通网站。也就是说,用户只要有一次与攻击者共处在同一网络中,并且通过非加密的方式访问过普通网站,之后即使攻击者和用户不在同一网络中,攻击者也能完成攻击。
事实上,在此之前,微博上曾经就HTTPS是否安全掀起过一场“撕逼”大战。起因是央视认为免费WiFi非常的不安全,黑客可以轻易的通过免费WiFi窃取到用户的密码。央视警告用户不要使用免费WiFi登陆网银或支付宝。而@奥卡姆剃刀认为央视在传播错误的观点。他认为WiFi只是通道而已,网银和支付宝都使用了HTTPS,即所有数据的传输都经过加密的,黑客不可能通过WiFi窃取到密码。
@奥卡姆剃刀的观点引发了众多安全界顶尖极客的反驳,极客们认为HTTPS本身没有问题,但是网银对HTTPS的实现是有漏洞的。因为银行的程序员在编写网银程序时没有严格遵守HTTPS,所以攻击者可以通过伪造证书的方式进行中间人劫持攻击,从而窃取到用户的网银密码。
现在,段海新教授发现的HTTPS的漏洞,使得被安全界公认安全的HTTPS也不再安全。在段海新教授的演示中,全程使用了HTTPS,但是依然没有阻止攻击。段海新教授表示这不是HTTPS实现上的漏洞,而是HTTPS本身的设计有漏洞。
本文转自虎嗅网
