淘新聞

Chrome存大問題 檢查網站“安全”實際不一定安全

上個月底曾有報導稱,微軟的 Edge 流覽器在 Pwn2Own 2017 世界駭客大賽期間連續被黑五次,然而穀歌的 Chrome 在規定時間內無法入侵,成為最牢不可破的網路流覽器產品。不過,這就表示 Chrome 真的堅不可摧了嗎?並非如此。因為儘管 Chrome 位址欄一側能夠提供網站安全檢測,但其實並不意味著訪問的網站絕對完全,畢竟網站的 SSL 證書都是由 CA 頒發。

近日,安全公司 WordFence 發佈的一份報告稱,憑證授權 CA 頒發給某些網站安全證書,實際上是一些網站本身由釣魚網站偽裝而來。報告表示,加密、免費、開放和自動化 CA 目前已經被用於創建無數個 SSL 證書,專門服務給釣魚網站,包括最熱門支付網站 PayPal。

現在所面臨的事實是,正是由於這些 SSL 證書是有效的,使得穀歌 Chrome 和其他流覽器在對網站安全檢查時,直接報告用戶這些網站為安全網站。如今為了確保流覽器更加安全,Chrome 和 firefox 已經預設將 http 標記為不安全的網站連接,而幾乎所有 https 則認為是“安全”的網站。不過,https 並不總是等同于安全。

WordFence 表示,在 Chrome 流覽器中,當位址欄一側顯示安全時,基本上表示流覽器與所訪問網站之間的連接是加密的。“但這只代表為網站安裝的證書人真正擁有此功能變數名稱而已,並不意味著該功能變數名稱受信任或安全,不是沒有惡意或釣魚的成分。”

WordFence 接著提到了一個最重要的關鍵點,那就是當 CA 發現一些網站有問題撤銷安全證書之後,Chrome 仍將此網站標記為“安全”,沒有進行證書新狀態的檢測,也就是說 Chrome 一旦檢測過一次之後就默認未來的檢測結果了,而不是重新檢測,這是 Chrome 本身最大的問題。

總之,WordFence 最後表示,無論使用什麼流覽器,只要訪問網站,就不能代表絕對的完全。