你知道吗?Chrome 浏览器标记安全的网站,其实未必安全

简介:
  

当你访问网站,看到地址栏旁边有把绿色的小锁和标记“安全”时,会不会潜意识里面觉得这个网站是安全的?就像这样:

你知道吗?Chrome 浏览器标记安全的网站,其实未必安全

然而事实情况是,上图中的网站就是一个钓鱼网站。

你可以看到,Chrome浏览器标记网站是“安全”的。但从网址看来,这是一个假冒谷歌 Play 商店的钓鱼网站。仔细观察,你会发现网站地址中“.com”后面存在一些蹊跷。

如果用 Chrome 浏览器的证书检查工具来查看该网站网站详情,会发现另一件事:有十多个网站在共用这个网站证书。

你知道吗?Chrome 浏览器标记安全的网站,其实未必安全

以上内容来自于网站安全公司 Wordfence 最近发布的一篇网站证书安全报告。报告表明,有大量冒充谷歌、微软、苹果等知名公司的钓鱼网站拥有多个机构颁发的SSL证书当用户访问网站时,浏览器会将其标记为“安全”。

为什么会出现这种情况?

据雷锋网了解,出现这样的情况,主要由于网站安全证书的错误颁发导致。如今一些钓鱼网站也能通过谷歌的 https 网站安全测试,被标记为“安全网站”,正是因为他们得到了证书颁发机构的“加冕”。

浏览器和证书颁发机构(以下简称CA)是这样合作的:

网站的拥有者向CA机构证明自己是这个网站的拥有者,并且证明这个网站的合法性,交了钱(也有免费的网站证书)就可以获得证书了。

当用户用浏览器访问网站时,浏览器会验证该网站的证书的有效性,如果证书有效,浏览器就会将网站标记为“安全”。于是问题来了,如果证书颁发机构胡乱颁发证书,比如颁发证书给一个钓鱼网站,浏览器同样会显示“安全”。 

安全公司 Wordfence 发现,知名的开源免费证书颁发机构 Let's Encrypt 错误地将一些网站证书颁发给了钓鱼网站,下面这个假冒苹果商店的钓鱼网站便是如此:

你知道吗?Chrome 浏览器标记安全的网站,其实未必安全

这种事情并不是第一次发生,前不久谷歌公司就因为错误颁发证书的事,开始封杀全球知名的证书颁发机构赛门铁克CA。(详见雷锋网报道:巨头怼巨头,谷歌封杀赛门铁克证书背后的恩怨情仇

同时,Wordfence 表示目前还存在一个更严重的问题:

假如一个网站先获取了正确的证书,但是由于种种问题,证书被撤销,Chrome 浏览器仍然会显示该网站是安全的。


这并不是浏览器本身的问题,因为在Chrome的开发者工具中能够看见证书的撤销情况。这是整个证书撤销机制出现了问题,而这个问题在许多年前就已经被指出。

我们该怎么办?

结论就是,当你访问一个网站时,如果看到地址栏旁边有一把绿色小锁,只能说明该网站使用的证书是有效的,但并不意味着该网站一定是安全的。正确的做法是:

访问网站时,确保地址栏中最前面的主机名是官方的,或者最起码是你熟悉的。比方说当你访问雷锋网(公众号:雷锋网)的时候,请确保最前面的主机名是:leiphone.com。

你知道吗?Chrome 浏览器标记安全的网站,其实未必安全


  本文作者: 谢幺

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
8天前
|
Web App开发 安全 前端开发
一个接口4个步骤轻松搞定最新版Chrome、Edge、Firefox浏览器集成ActiveX控件
目前的浏览器市场,谷歌浏览器占据了半壁江山,因此,谷歌也是最有话语权的,2015年开始取消支持 NPAPI 插件,2022 年10月停止支持 PPAPI 插件;而曾经老大哥IE浏览器也已停止服务,退出历史舞台,导致大量曾经安全、便捷的ActiveX控件无法使用。为了解决这个难题,本人特研发出allWebPlugin中间件,重新让所有ActiveX控件能在谷歌、火狐等浏览器使用。
|
2月前
|
监控 供应链 前端开发
浏览器拨测:将网站护航的阵地再前推一米
近年来,针对网站的攻击形式愈发多样,手段也变得更加隐蔽,使用浏览器拨测来监控服务的整个生命周期有助于及时发现攻击,保护核心业务链路不受损。阿里云监控浏览器拨测使用真实的浏览器进行拨测,通过提供丰富的断言能力和脚本录制能力护航服务的全生命周期和核心业务链路,助力开发者更好地监控服务的可用性,消除潜在风险。
131 19
浏览器拨测:将网站护航的阵地再前推一米
|
9天前
|
Web App开发 数据采集 JavaScript
Chrome浏览器实例的TypeScript自动化脚本
Chrome浏览器实例的TypeScript自动化脚本
|
1月前
|
安全
浏览器安全
采用匿名方式浏览,你在登录网站时会产生一种叫cookie(即临时文件,可以保存你浏览网页的痕迹)的信息存储器,许多网站会利用cookie跟踪你在互联网上的活动。 你可以在使用浏览器的时候在参数选项中选择关闭计算机接收cookie的选项。(打开E浏览器,点击“工具”—“Internet选项”,在打开的选项中,选择“隐私”,保持“Cookies”该复选框为未选中状态,点击按钮"确定")
|
2月前
|
Web App开发 缓存 安全
WIN11 Chrome 双击打不开闪退及Chrome浏览器不能拖拽文件crx
【11月更文挑战第6天】本文介绍了 WIN11 系统中 Chrome 浏览器双击打不开闪退及不能拖拽文件 crx 的原因和解决方法。包括浏览器版本过旧、扩展程序冲突、硬件加速问题、缓存过多、安全软件冲突、系统文件损坏、用户配置文件损坏等问题的解决方案,以及 crx 文件的屏蔽、权限问题和文件格式问题的处理方法。
205 2
|
2月前
|
Web App开发 Linux iOS开发
Chrome浏览器如何导出所有书签并导入书签
【11月更文挑战第4天】本文介绍了如何在 Chrome 浏览器中导出和导入书签。导出时,打开书签管理器,点击“整理”按钮选择“导出书签”,保存为 HTML 文件。导入时,同样打开书签管理器,点击“整理”按钮选择“导入书签”,选择之前导出的 HTML 文件即可。其他主流浏览器也支持导入这种格式的书签文件。
1210 2
|
2月前
|
缓存 监控 测试技术
如何利用浏览器的缓存来优化网站性能?
【10月更文挑战第23天】通过以上多种方法合理利用浏览器缓存,可以显著提高网站的性能,减少网络请求,加快资源加载速度,提升用户的访问体验。同时,要根据网站的具体情况和资源的特点,不断优化和调整缓存策略,以适应不断变化的业务需求和用户访问模式。
119 7
|
4月前
|
Web App开发 数据采集 存储
WebDriver与Chrome DevTools Protocol:如何在浏览器自动化中提升效率
本文探讨了如何利用Chrome DevTools Protocol (CDP) 与 Selenium WebDriver 提升浏览器自动化效率,结合代理IP技术高效采集微博数据。通过CDP,开发者可直接操作浏览器底层功能,如网络拦截、性能分析等,增强控制精度。示例代码展示了如何设置代理IP、cookie及user-agent来模拟真实用户行为,提高数据抓取成功率与稳定性。适用于需要频繁抓取互联网数据的应用场景。
613 3
WebDriver与Chrome DevTools Protocol:如何在浏览器自动化中提升效率
|
2月前
|
Web App开发 JavaScript 前端开发
使用 Chrome 浏览器的内存分析工具来检测 JavaScript 中的内存泄漏
【10月更文挑战第25天】利用 Chrome 浏览器的内存分析工具,可以较为准确地检测 JavaScript 中的内存泄漏问题,并帮助我们找出潜在的泄漏点,以便采取相应的解决措施。
394 9
|
3月前
|
Web App开发 开发者