paint-brush
“连接不是私人的”警告解释经过@TheMarkup
2,269 讀數
2,269 讀數

“连接不是私人的”警告解释

经过 The Markup5m2022/10/02
Read on Terminal Reader
Read this story w/o Javascript

太長; 讀書

在您的互联网旅行中,您可能会偶然发现一条警告,上面写着“您的连接不是私密的。攻击者可能正试图窃取您的信息。”该页面通常会为您提供继续访问该网站的选项。但是你应该吗?每次访问网站时,您的 Web 浏览器都会检查两个数字证书之一是否存在:传输层安全 (TLS) 或安全套接字层 (SSL) 证书。
featured image - “连接不是私人的”警告解释
The Markup HackerNoon profile picture

在您的互联网旅行中,您可能会偶然发现一条警告,上面写着“您的连接不是私密的。攻击者可能正试图窃取您的信息。”该页面通常会为您提供继续访问该网站的选项。但是你应该吗?

为什么我被重定向到此页面?

今天,我们在网上进行的活动比以往任何时候都多:支付账单、购买杂货以及与医生交流等等。随着越来越多的此类网站要求提供个人信息,我们依靠网络浏览器的安全措施来确保我们的数据安全。


每次您访问一个网站时,您的网络浏览器(例如 Chrome、Safari 或 Firefox)首先会检查两个数字证书之一是否存在:传输层安全 (TLS) 或安全套接字层 (SSL) 证书。这表明两件重要的事情。


首先,他们确认网站的身份,确认网站就是它所说的那个人。


其次,他们验证网站上的信息——以及你与之共享的任何数据——将是安全和加密的。加密可确保您共享的信息,无论是信用卡号还是家庭住址,在被截获时都不会被理解。


您可以通过单击 URL 左侧的小挂锁或在网站链接前面查找“HTTPS”而不是“HTTP”来判断网站是否具有有效证书。


使用 HTTPS 表示网站使用安全证书在网络上移动信息。


2014 年,谷歌宣布将使用证书作为其搜索结果的质量因素,将更安全的网站置于搜索结果的更高位置。


然后,在 2018 年,该公司宣布其 Chrome 浏览器将标记所有没有正确配置证书(TLS 或 SSL)的网站,并显示“连接非私有”窗口以警告用户。其他浏览器也采取了类似的措施


因此,当您浏览网页时,您可能会在尝试访问某些网站时收到此消息的变体。

如果我继续访问该网站,我的信息真的会被盗吗?

可能。 Connection Not Private 窗口可能由配置不当的证书、最近才过期的证书或完全丢失的证书触发。


访问没有适当加密的网站会使您面临许多网络威胁的风险。


您的信息在互联网上传播时可能会被拦截,安全专家称之为“中间人”攻击。电子前沿基金会 (EFF) 的高级技术专家比尔·布丁顿 (Bill Budington) 表示,这种情况最常发生在有人劫持您的 Wi-Fi 连接时,诱使您的设备认为黑客软件是您的设备应该连接的接入点。


此过程使攻击者可以访问您的互联网流量以及您提供给网站的任何数据。


“无论这意味着一个民族国家欺骗其公民认为它是 google.com 还是黑客欺骗咖啡店顾客泄露顾客浏览的域,结果都是一样的,”巴丁顿说。


“这意味着泄露从未委托给不受信任方的敏感数据,以及冒充目标或检索他们访问过的网站的通信历史的可能性。”


这在访问电子商务网站时尤其危险,因为客户经常输入敏感信息,例如他们的地址和信用卡号。一旦被截获,这些信息就会助长身份盗窃,这在 2021 年创下历史新高


一位白帽黑客进行了自己的实验,以了解在线拦截未加密信息的难易程度。虽然他的软件没有收集实际的用户信息,但它在一个下午就连接了商场的 49 台设备。


访问没有加密的网站也会使您容易受到勒索软件攻击,当用户访问受感染的网站并且恶意软件被秘密下载到该人的设备时,可能会发生这种情况。


该恶意软件使攻击者能够将用户的文件作为人质,直到他们支付赎金。


最后,忽略警告并继续访问该站点会使您容易受到网络钓鱼攻击,攻击者会伪装成受信任的网站来引诱用户共享财务或其他敏感信息。


在这种情况下,由于网站的证书不真实,会触发 Connection Not Private 消息。如果用户输入其银行的 URL 并看到此消息,则说明出现问题,因为银行的网站肯定有一个有效的证书。

遇到这样的警告该怎么办?

作为第一步,安全专家和哈佛教员助理 Bruce Schneier 建议确保您尝试连接到正确的 URL。在那之后,施奈尔说这通常归结为一个判断电话。


例如,如果您单击来自您不认识的发件人的电子邮件中的链接并收到警报,则不应继续。但如果你正确输入了一个众所周知的 URL,你可能可以继续,他说,因为这可能“只是一个错误”。


根据 Schneier 的说法,触发警报的原因有很多,例如证书最近过期或键入的 URL 与与证书关联的名称不匹配。


有办法找出是什么触发了警告。该消息通常伴随着一个错误代码,您可以查找该代码。


例如,错误 NET::ERR_CERT_COMMON_NAME_INVALID 通常表示证书上的名称与输入的 URL 不匹配。


出现该窗口的另一个常见原因是,如果您在图书馆或机场等地方通过公共互联网浏览。公共 Wi-Fi 更容易受到本地网络上人员的中间人攻击。


因此,在公共 Wi-Fi 上使用 HTTPS 更为重要,因为这将有助于防止来自附近人员的攻击。


如果您想确保错误不是侥幸,您可以尝试重新启动计算机、清除缓存或移动到专用 Wi-Fi 连接以查看错误是否仍然存在。


也许确实如此,但无论如何您都决心访问该站点。如果您在 Chrome 或 Firefox 上浏览,通常可以在错误窗口中选择“高级”,然后单击链接继续访问该网站。同样,在输入个人信息时要小心——从密码到地址——因为这些信息在这些网站上不受保护。


Schneier 警告说,虽然经过验证的证书确认网站已加密,但如果网站所有者有恶意,它仍然可能以其他方式存在恶意。

更正

这个故事的前一个版本指出,如果证书名称不匹配,则不会加密数据。这是不正确的。该版本的故事还错误地指出公共 Wi-Fi 的安全性较低,因为它使用 HTTP 而不是 HTTPS。


Wi-Fi 网络的安全性与网站的 HTTPS 状态无关。 Wi-Fi 网络保护用户计算机和路由器之间的连接,而 HTTPS 保护用户浏览器和托管网站的服务器之间的连接。


作者:伊芙·泽利克森


也在这里发布


特色图片来源