文档章节

破解TLS:这么做真的有利于安全吗?

亚洲诚信
 亚洲诚信
发布于 2017/05/31 09:07
字数 1212
阅读 10
收藏 0

破解TLS一般可以通过加载一个检验性的CA证书来完成,该证书通过你的TLS检验设备来动态生成证书。来自该CA的公钥被加载到网络中的所有客户端。当一个域被请求时,一个证书随之生成,并被返回给请求方。请求方就有了一个到TLS检验设备的可信连接,然后该设备就会发起一个到目的地的连接。这样,用户就有了一个到他们请求的资源的“可信”连接,而安全团队可以监视整个会话。这一行为被称为“中间人”,通常会给我们带来危险。破解TLS有它合情的出发点但却并不合理、也不安全:

  1. 我们已经使用户愿意“相信这把锁”。笔者认为信任浏览器是一个好的安全计划的基石。今天你偶然点进一个钓鱼网站,都会通过浏览器注意到该连接是不安全的,然后关闭窗口。而当你破解了TLS后,你就会使用户直接面对各种各样的钓鱼攻击,同时向他们展示象征安全的绿锁。假设90%的攻击是以钓鱼开始的话,那么破解TLS最终将损害信息安全。
  2. 当你破解了TLS后,很多工具都会崩溃。一些app的验证机制要么太强(证书绑定),要么太弱(对一个出现过的CA自动验证一些字段的有效性)。当你把自己置于其中时,你肯定会以某些无法预计的方式破解掉这些app。这对用户来说的确是一件糟糕的事情,而且还是那些“安全人员”造成的。我曾经亲眼见过开发人员花费大量时间来解决破解TLS给他们的工具带来的问题。
  3. 这样的网络安全监视真的值得吗?将所有网络通信收集到你的网关然后进行分析是一项很艰巨的工作。入侵监测不仅需要在软件方面投入数百万美元,而且还要在安全事件管理以及最重要的监控人员方面进行投入。问问自己“这是为了什么?”你上次通过你的入侵监测设施发现入侵者是什么时候?

如果你对以上问题没有一个有说服力的答案,那么请考虑把你的时间和资源投入到其他方面。安全从业人员应该将他们宝贵的精力用于用户培训、以监视设施装备web应用、大量生产密码管理器以及强制推行双因子认证。如果你有多余的时间,尽快打好补丁。

钓鱼网站防御的四个阶段

说服用户了解实实在在的威胁是解决问题的重要起点。我们把钓鱼网站防御分为四个阶段:培训、评估、报告和执行。在这四个阶段投入时间和资源以建立你的钓鱼网站保护计划。

培训和评估是通过对话使你的用户了解情况并测试他们是否点击。这正在变成老生常谈。这些受过训练的用户会习惯于来找你讨论他们收到的可疑邮件。要让他们习惯于把这些可疑邮件转发到你的团队监视的邮箱中。用好这一方法,你就能把“点错一次就失去一切”的状况转变为“只需点一次钓鱼网站就能进行报告并保护所有人”。

装备你的web应用

一个靠谱的web应用可以帮助你进行渠道监视异常、用户密码重置、用户和管理员登入/登出、重要网络过滤器事件和授权用户事件(更新IP、添加域),甚至安全性打分机制,告诉你什么时候需要给系统打补丁。一个合适的web应用能让安全团队在恰当的时候获得正确的信息,得以做出正确的决定。

改善密码管理

这条最后防线的重点是将所有密码重用的痕迹从你的企业中移除,并全面推进双因子认证,这样,即使密码丢失,也不会一直有效。

由于资源往往稀缺(时间、金钱),把安全计划的重点放在防范攻击者,比在繁琐的监视上花费人员和工具更有意义。而采用以上列出的简单策略,你就可以建立一个经济实用的安全计划。

© 著作权归作者所有

亚洲诚信
粉丝 4
博文 104
码字总数 78476
作品 0
程序员
私信 提问
HTTPS 再爆漏洞, 企业需升级SSL/TLS加密算法

随着CBC和RC4加密算法的相继“沦陷”,依赖SSL/TLS的企业需要引起高度重视,选择更安全的加密算法。 本站之前的文章“你的智能手机应用在裸奔吗” 提到过, 糟糕的SSL实施可能会导致被实施“...

oschina
2013/03/24
5.5K
10
了解 HTTPS,读这篇文章就够了

今天接到个活儿,让我科普 HTTPS 。讲 HTTP 我都“方”,想要通俗易懂的说完 HTTPS, 我有点“圆”。在讲什么是 HTTPS 之前,我们先来看个漫画。 漫画中其实就是 HTTPS 的握手过程,但是我相...

又拍云
2018/10/18
0
0
各大浏览器相继发布声明将停止支持 TLS 1.0 和 TLS 1.1 !

简评:TLS 1.0 发布至今已将近 20 周年即将寿终正寝,期间为我们保障了千亿次甚至万亿次的数据请求安全。 TLS 工作组几个月前发布声明文件弃用 TLS 1.0 和 TLS 1.1。 昨天,包括火狐、Safar...

极小光
2018/10/24
0
0
SSL 加密被破解,千万站点面临危险

研究者最近发现了一个存在于TLS 1.0(几乎应由于所有HTTPS加密网站的协议)的重大弱点。利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据。 此攻击仅针对TLS...

夏哉
2011/09/22
9.5K
44
Python网络编程笔记(五):TLS和SSL

传输层安全协议(TLS),前身是安全套接层SSL TLS无法保护的信息 能保护的信息包括: 与请求URL之间的HTTPS连接及其返回内容、密码、cookies等可能在套接字双向传递的信息。 无法保护的信息:...

郝开心信札
2018/08/02
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Feign输出Info级别日志

背景   spring cloud netfix组件中,feign相关的日志默认是不会输出的,需要自定义配置才能输出,并且Feign只对Debug基本的日志做出响应, 实际业务需要输出Info级别的日志,所以需要做自定...

xiaomin0322
31分钟前
3
0
面向解决问题的java编程,spring boot,mybatis generator和坑-1starter

1、start一个spring boot项目 第一课我们也不能免俗,要从starter开始,spring boot的起始项目脚手架可以从spring boot官方starter生成地址开始:https://start.spring.io/ 这张图列出了一个...

wphmoon
32分钟前
1
0
Linux虚拟化技术—CentOS7.4下KVM虚拟化一 安装配置及基本操作

Linux虚拟化技术—CentOS7.4下KVM虚拟化一 安装配置及基本操作 0行云流水00人评论61017人阅读2018-04-11 19:57:20 KVM的安装配置与基本操作 目录 第一部分 实验环境 第二部分 安装图形界面 ...

linjin200
34分钟前
3
0
php获取网站favicon.ico图标 api源码

 通常情况下,做网站的都会给自己的网站添加一个Icon,浏览器上一长排的标签页,用Icon来区分就显得更加醒目。现在想找一个没有Icon的网站并不好找,可见没有Icon的网站是多么的业余啊。"什...

xiaogg
38分钟前
1
0
双亲委派的认识

首先JVM中有三种类加载器 Bootstrap启动类加载器 Extension扩展类加载器(ExtClassLoader) System系统类加载器(AppClassLoader) 某个特定的类接到加载类的请求时候,首先将加载任务委托给...

最胖的瘦子
42分钟前
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部