24小时联系电话:185 8888 888

要闻
您现在的位置: 首页 > 要闻 > 浏览器中那个小挂锁背后的故事
  • 零食新鲜化,来伊份的产品溯源里藏着这些秘密···

    零食新鲜化,来伊份的产品溯源里藏着这些秘密···

    发布时间:2023/07/03

    在“新鲜零食”的战略引领下,“主板零食第一股”来伊份迈入了企业发展的第23个年头,其传统的线下溯源活动“寻鲜之旅”也已经发展至第九届,本次再度启程将探索芒果之乡——百色,继续为用户展现以“青山绿水”铸“新鲜零食...

  • 雷科智途联合太平洋财产保险共同举办商用车AEBS防碰撞演示活动

    雷科智途联合太平洋财产保险共同举办商用车AEBS防碰撞演示活动

    发布时间:2022/01/04

    2021年12月16日,“安全出行·科技护航”-商用车自动紧急制动系统(AdvancedEmergencyBrakingSystem,简称“AEBS”)防碰撞演示在山东省青岛莱西市隆重举行。出席本次活动的领导和嘉宾有:莱西市应急管理局副局长李凌云...

  • 剑南春再传喜报,两年蝉联四次冠军

    剑南春再传喜报,两年蝉联四次冠军

    发布时间:2021/12/14

    2021年“双12”天猫年终购物节战报出炉,剑南春天猫平台官方旗舰店以超高人气和火爆的销量,勇夺天猫“双12”白酒品牌旗舰店交易指数第一名。 剑南春领跑榜单,两年蝉联四次冠军 剑南春在线上购物狂欢节上一直有着不...

  • 百年变局新机遇 第九届岭南论坛在广州举行

    百年变局新机遇 第九届岭南论坛在广州举行

    发布时间:2021/11/22

    11月21日,第九届岭南论坛在广州成功举办。本次论坛围绕“百年变局新机遇”主题,原中国银行业监督管理委员会主席刘明康,中山大学岭南学院教授、博导、广东省人民政府参事陆军,斯坦福大学教授、2001年诺贝尔经济...

  • 破记录的2万亿美元刺激计划中有什么?

    破记录的2万亿美元刺激计划中有什么?

    发布时间:2020/03/27

    经过几天的谈判,美国参议院今晚对第三项反对冠状病毒危机的法案进行投票。前两个法案着重于为医学研究提供资金并向病毒受害者提供经济支持,而“第三阶段”刺激法案则是对整个美国经济的大规模救助方案。这将花费...

  • 世界在煤炭支持上花费了半万亿美元

    世界在煤炭支持上花费了半万亿美元

    发布时间:2020/03/17

    全世界的国家有可能继续支持煤炭行业,而不是投资于成本更低,对环境更友好的风能和太阳能项目,从而浪费6400亿美元。 金融智囊团Carbon Tracker在周四发布的一份报告中说,全球60%的燃煤发电厂以比可再生能源替...

  • 您还不知道怎么毫无危险的投资?

    您还不知道怎么毫无危险的投资?

    发布时间:2020/03/13

    查看了许多财务平台,阅读有关加密货币、证券交易所的信息并没找到了答案? 我也处于过类似情况。我现在写出这篇文章,以帮助您与AlysDax公司一起开始工作! 前几天,我的朋友建议我AlysDax平台,哪个专为机构投...

  • MK FOREX提醒您:黄金:迈向短期阻力的路上

    MK FOREX提醒您:黄金:迈向短期阻力的路上

    发布时间:2020/03/02

    金价延续自1625美元/盎司开始的反弹 正常的RSI情况表明反弹将持续 关键的斐波纳奇回撤位,附近的上升趋势线限制了短线下跌 截至周四早间,金价在每盎司1,650美元附近。金价周三走出了U型走势。 黄金价格最近从162...

浏览器中那个小挂锁背后的故事

发布时间:2020/03/26 要闻 浏览次数:495

 
每当您在Internet浏览器的地址栏中看到一个小挂锁,以及使用应用程序,电子邮件和消息传递时,都依赖于一种称为“传输层安全性”或TLS的东西。该协议可确保我们安全上网。
那个小挂锁的背后是加密代码,可确保您与正在查看的网站之间的数据传输安全。
实际上,TLS在三个方面保证了安全性:身份验证,加密和完整性。身份验证,以便您的数据按您认为的去向;加密,使其不会在其他任何地方使用;和完整性,以便在途中不被篡改。
美国技术公司Mozilla的首席技术官埃里克·雷斯科拉(Eric Rescorla)通过电子邮件对Horizo​​n表示:“这是互联网上最受欢迎的安全协议,基本上可以保护每笔电子商务交易。
在截至2018年的前二十年中,对TLS进行了五次大修,以适应复杂的在线攻击。此后,许多专家认为,最新版本的TLS1.2在可预见的将来足够安全,直到Karthikeyan Bhargavan博士及其法国国家数字科学技术研究院(INRIA)的研究人员在巴黎来了。
脚手架
作为名为CRYSP的项目的一部分,研究人员一直在研究提高软件应用程序安全性的方法。通常,软件开发人员依赖TLS,就像构建器依赖脚手架一样,换句话说,他们认为安全是理所当然的。
但是,为了提高软件级别的安全性,Bhargavan博士及其同事必须彻底检查关于TLS1.2的基本假设(没有严重缺陷)是否合理。
他说:“从某种意义上说,我们意识到它们并非如此。”
在发现了一些不稳定的代码行之后,研究人员与Microsoft Research合作,扮演了黑客的角色,对该协议进行了一些模拟攻击,以测试其漏洞程度。这些攻击表明,有可能成为互联网用户与服务提供商(例如Google)之间的“中间人”,从而窃取该用户的数据。
巴尔加文博士解释说:“这将是一系列相当复杂的行动。” “通常,中间人必须向每个演员发送奇怪的消息,以诱使他们进入代码的错误部分。”
他继续说:“如果作为中间人,我成功了,那么我有可能窃取某人的付款细节。” “或者我可以假装自己是苹果或谷歌,然后通过软件更新下载(插入)恶意软件以访问人们的计算机。”
严重威胁
这样的黑客将需要例如政府机构这样的专业知识和强大的计算能力,并且需要接近关键角色的一些物理基础设施。但是,促进互联网标准的国际组织互联网工程任务组(IETF)认为威胁足够严重,需要使用新版本的加密协议。
Bhargavan博士指出,他并不是唯一一位提出修订建议的计算机科学家。他说,其他四个或五个研究小组发现了当前协议存在的问题,在一个健康的竞争中相互推动。
他仍然说,他的团队发现了TLS1.2中一些最令人惊讶的缺陷,他认为这可能是该协议的“棺材上的最后钉子”。
在IETF工作组的监督下,他的小组还是互联网社区内部广泛合作的一部分,目的是使用现代算法和技术构建更安全,更可靠的中间人TLS 1.3。 Rescorla说:“ Bhargavan博士是这项工作的主要参与者。” Rescorla在工作时在IETF负责TLS。
TLS 1.3于2018年8月正式启动。此后,它已由主要的互联网浏览器(例如Mozilla Firefox和Google Chrome)实施。
那么,互联网用户安全了多少呢?
人为错误
的确,对于大多数在线安全漏洞,TLS并不是罪魁祸首。通常,由于软件中的错误(Bhargavan博士的研究小组从一开始就着手解决)或人为错误,个人数据就会落入错误的手中。
但是Bhargavan博士相信知道底层协议是安全的,因此可以放心。他说:“这不是全部,但只要您单击该挂锁,您就会对安全性有一定的信心,这是最基本的事情。”
但是Bhargavan博士相信知道底层协议是安全的,因此可以放心。他说:“这不是全部,但只要您单击该挂锁,您就会对安全性有一定的信心,这是最基本的事情。”
此外,互联网用户不仅担心黑客。自2013年以来,再加上美国国家安全局承包商前雇员爱德华·斯诺登(Edward Snowden)的泄露,许多人担心国家情报和大型企业积累的个人数据量。
TLS 1.3在设计时考虑到了斯诺登的启示,通过对用户数据和元数据进行加密,为某些类型的这种基于网络的普遍监视提供了方便。它还可以防止追溯解密(以前版本的弱点之一)。
Bhargavan博士说,在IETF工作组中,关于防止监视是否是TLS的目标之一进行了长时间的讨论。他说:“答案最终是肯定的。”
现在,Bhargavan博士正在重新讨论软件安全性问题。他认为,大多数剩余的漏洞可以在设计阶段消除。
已验证
为此,他和他的同事正在构建一个经过完全验证的密码代码的HACL *库,其他开发人员可以在构建新软件时借鉴该库。在这个称为CIRCUS的项目中,他们还创建了一个易于遵循的参考范例,该范例告诉开发人员如何在不引入安全故障的情况下将软件组合在一起。
最终的高安全性软件已经被Mozilla和Microsoft的开发人员所采用。巴尔加文博士说:“我们希望每个人都遵循这些技术。”
最终,他的目标不是要确保所有在线安全,而是要在我们高度复杂的计算机系统中找到最安全的位置。他说:“我认为我们永远无法达到对所有内容进行验证的地步,但我们可以找到最安全的篮子,可以在其中放入密钥,密码和财务数据。”