即使是世界上最堅固的網(wǎng)站，也有可能被攻擊。

最近，三大運營商劫持流量的事情讓很多互聯(lián)網(wǎng)公司群情激憤。面對傷痕累累的友商，阿里巴巴卻在一旁作壁上觀。因為其在去年就啟動了淘寶、天貓等全站的協(xié)議加密。利用https協(xié)議讓網(wǎng)站和用戶之間的溝通全部采用密文傳輸。作為中間人的運營商看不懂雙方交流的內(nèi)容，自然沒有辦法插足了。

【采用https協(xié)議加密的淘寶網(wǎng)】

不過，一個最新爆出的漏洞顯示：即使是加密的網(wǎng)絡協(xié)議，仍然可以被破解。

加密協(xié)議的原理很簡單，它的原理和二戰(zhàn)時的密碼電報類似。誰知道密鑰，誰就可以成功翻譯出訊息的內(nèi)容。于是，想方設法破解密碼，從而攻破加密協(xié)議一直是很多黑客的追求。早在90年代“https”協(xié)議被網(wǎng)景公司創(chuàng)立以來，就有安全研究員開發(fā)出了一種方法，這種方法的原理大概是：

1、黑客發(fā)送諸多請求，“拷問”服務器，

2、服務器只需要回答“是”或“否”，

3、程序根據(jù)服務器的回答來猜出正確的密鑰。

不過，這種方法隨著網(wǎng)絡協(xié)議的升級而變得不太靈光。

顯而易見，加密協(xié)議的密鑰必須使用一個密碼庫。而加密協(xié)議使用的密碼庫名為“OpenSSL”。正是這個被無數(shù)黑客研究的全球最大的密碼庫被曝出漏洞，這個漏洞讓黑客輕松破解加密協(xié)議。

【作為中間人，一旦破解加密協(xié)議，可以任意劫持雙方通信內(nèi)容】

這個漏洞的威力巨大，它可以直接干掉三分之一的全球最堅固網(wǎng)站，有1150萬臺服務器受到影響。包括阿里巴巴、雅虎、微博在內(nèi)的諸多網(wǎng)站都沒有幸免。使用這個漏洞，可以任意劫持網(wǎng)站和用戶之間的通信內(nèi)容。雙方究竟會看到什么信息，中間人是可以隨意決定的。例如：

如果你想下載一個應用，攻擊者可以讓你看到中國移動的廣告。

如果你想瀏覽一個網(wǎng)頁，攻擊者可以讓你看到中國聯(lián)通的廣告。

如果你想使用一個App，攻擊者可以讓你看到中國電信的廣告

幸虧這個致命漏洞是被安全研究員發(fā)現(xiàn)的，如果它被中國的運營商發(fā)現(xiàn)。天吶，后果不堪設想。。。。。

研究人員的描述稱：

利用這個漏洞攻擊一個網(wǎng)站，整個攻擊過程不會超過八個小時，攻擊成本大約在440美金左右。

而實際上，還沒有黑客利用這個漏洞發(fā)動過真正的攻擊，而 OpenSSL 已經(jīng)發(fā)布了最新版本，修復了這個漏洞。鑒于無數(shù)黑客晝夜不眠地研究，加密協(xié)議很可能還會爆出新的漏洞。

所謂世界上最堅固的網(wǎng)站，也許只存在于我們的想象之中吧。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。