机房360首页
当前位置:首页 » 需求分析 » 只有0.1%的用户能正确处理Web服务器安全那点儿事

只有0.1%的用户能正确处理Web服务器安全那点儿事

来源:网络来源 作者:机房360 更新时间:2016-3-30 10:05:16

摘要:网络扫描设备供应商Netraft公司已经发布了“一项非常严厉的批评”,斥责全球各地的系统管理员忽略了HTTP公共密钥锁定(简称HPKP)机制。这套锁定方案的设计目标在于帮助用户抵御伪造攻击,即攻击者利用伪造的证书颁发机构发布欺诈性证书。

  网络扫描设备供应商Netraft公司已经发布了“一项非常严厉的批评”,斥责全球各地的系统管理员忽略了HTTP公共密钥锁定(简称HPKP)机制。

  这套锁定方案的设计目标在于帮助用户抵御伪造攻击,即攻击者利用伪造的证书颁发机构发布欺诈性证书。

  如果攻击者能够为用户提供一套fubar.com的证书,他们即可伪造该站点,并构建一条路径以实现证书收集。

  HPKP确实非常有效,但Netcraft方面强调称,其只有在系统管理员将其应用至服务器时才能发挥作用——但实际情况恰好相反。

  “在Netcraft本月进行的2016年SSL调查中,只有不到0.1%的证书配备有HPKP标题头,”这篇文章指出,并补充称“即使得到部署,仍有三分之一的系统管理员未能正确设定HPKP策略。由于错误太多,HPKP的起效门槛变得很高。”

  从数字角度来看,Netcraft公司表示只有3000套证书在使用HPKP共有4100个站点在使用HPKP标题头,但有四分之一在具体实施过程中发生了错误。

  Netcraft公司指出,系统管理员避免使用该协议的最大理由在于,其虽然降低了用户风险,但使用HPKP却可能给企业带来风险。系统管理员需要为HPKP设定生命周期策略——如果站点运营人员丢失了证书密钥,那么其站点将在整个生命周期之内都无法进行访问。

  目前成功搞定这项难题的三个安全包括:

  Github采用HPKP,但将策略的生命周期设定为300秒。这就将GIthub出现问题后用户遭遇的中断时长降低到了最低水平——但攻击者仍然拥有5分钟的时间窗口。这样一旦遭遇攻击,“任何在过去五分钟内未能访问到真正www.github.com的用户都可能成为潜在受害者”。

  Mozilla则面临着更高的风险:其站点的策略生命周期为15天——一旦出现问题,后果将非常严重。

  Pixabay, Netcraft指出,面临的风险更为可观:策略生命周期长达1年,一旦失去专有密钥,其业务生命也将走向终点。不过就过往来看,“Pixabay显然认为强大的伪造攻击防护能力完全值得其冒如此大的风险。”

  责任编辑:余芯

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/2016330/n667279995.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片