HTTP，即超文本传输协议，是互联网上应用最为广泛的一种网络协议。然而HTTP协议以明文方式发送内容，不提供任何方式的数据加密，这导致这种方式特别不安全。对此便衍生出能够为数据传输提供安全的HTTPS(超文本加密传输协议)，HTTPS一度成为各大网站推崇的主流加密协议。

　　HTTPS加密连接也不再安全

　　不过，现在研究人员却发现了一种攻击方法能够绕过HTTPS加密连接，进而发现用户请求的网址，但加密流量本身不会受到影响。更可怕的是，该攻击对所有浏览器和操作系统均有效。

　　据透露，攻击者可以在各种类型的网络中发动这种攻击，甚至是在公共Wi-Fi中也可以。该攻击主要利用了一种名为WPAD(Web Proxy Autodisovery)的特性，这种特性会将某些浏览器请求暴露给攻击者，然后攻击者就可以看到目标用户访问过的每个网站的URL了。

　　研究人员称已发现可绕过HTTPS加密连接的攻击手法

　　研究人员表示，将于下个月在拉斯维加斯的Black Hat(黑帽)安全大会上演示该攻击手法。其中最有可能的攻击方法是当用户使用DHCP协议连接一个网络，DHCP能被用于设置一个代理服务器帮助浏览器访问特定的网址，攻击者可以强迫浏览器获取一个proxy autoconfig (PAC)文件，指定特定网址触发使用代理。恶意的PAC代码在HTTPS连接建立前获取到URL请求，攻击者因而能掌握用户访问的明文URL。

　　据悉除了URL，其他的HTTPs流量也会受到攻击的影响，并且在某些情况下， URL的暴露就已经可以对安全造成致命的打击了。例如，OpenID标准会使用URL来验证用户和服务。另一个例子是谷歌和Dropbox提供的文件共享服务，它会向用户发送一个包含URL的安全令牌，继而进行工作。许多密码重置机制也同样依赖于基于URL的安全令牌。攻击者只要在上述的任何一种情况下获得这些URL，就能进入目标用户的帐户、获取他们的数据。

　　责任编辑：DJ编辑