HTTP，即超文本傳輸協(xié)議，是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。然而HTTP協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，這導(dǎo)致這種方式特別不安全。對此便衍生出能夠?yàn)閿?shù)據(jù)傳輸提供安全的HTTPS（超文本加密傳輸協(xié)議），HTTPS一度成為各大網(wǎng)站推崇的主流加密協(xié)議。

　　HTTPS加密連接也不再安全

不過，現(xiàn)在研究人員卻發(fā)現(xiàn)了一種攻擊方法能夠繞過HTTPS加密連接，進(jìn)而發(fā)現(xiàn)用戶請求的網(wǎng)址，但加密流量本身不會受到影響。更可怕的是，該攻擊對所有瀏覽器和操作系統(tǒng)均有效。

據(jù)透露，攻擊者可以在各種類型的網(wǎng)絡(luò)中發(fā)動這種攻擊，甚至是在公共Wi-Fi中也可以。該攻擊主要利用了一種名為WPAD（Web Proxy Autodisovery）的特性，這種特性會將某些瀏覽器請求暴露給攻擊者，然后攻擊者就可以看到目標(biāo)用戶訪問過的每個(gè)網(wǎng)站的URL了。

　　研究人員稱已發(fā)現(xiàn)可繞過HTTPS加密連接的攻擊手法

研究人員表示，將于下個(gè)月在拉斯維加斯的Black Hat（黑帽）安全大會上演示該攻擊手法。其中最有可能的攻擊方法是當(dāng)用戶使用DHCP協(xié)議連接一個(gè)網(wǎng)絡(luò)，DHCP能被用于設(shè)置一個(gè)代理服務(wù)器幫助瀏覽器訪問特定的網(wǎng)址，攻擊者可以強(qiáng)迫瀏覽器獲取一個(gè)proxy autoconfig (PAC)文件，指定特定網(wǎng)址觸發(fā)使用代理。惡意的PAC代碼在HTTPS連接建立前獲取到URL請求，攻擊者因而能掌握用戶訪問的明文URL。

據(jù)悉除了URL，其他的HTTPs流量也會受到攻擊的影響，并且在某些情況下， URL的暴露就已經(jīng)可以對安全造成致命的打擊了。例如，OpenID標(biāo)準(zhǔn)會使用URL來驗(yàn)證用戶和服務(wù)。另一個(gè)例子是谷歌和Dropbox提供的文件共享服務(wù)，它會向用戶發(fā)送一個(gè)包含URL的安全令牌，繼而進(jìn)行工作。許多密碼重置機(jī)制也同樣依賴于基于URL的安全令牌。攻擊者只要在上述的任何一種情況下獲得這些URL，就能進(jìn)入目標(biāo)用戶的帳戶、獲取他們的數(shù)據(jù)。