HTTPS是一种网络加密方法，它的广泛使用使得许多网站能够保护自己的数据并拥有绿色小锁。你每天访问的所有流行网站都可以提供这种称为传输层安全的防御措施。顶级域名系统可以加密浏览器和网络服务器之间的数据，以保护你的旅行计划、密码和令人尴尬的谷歌搜索窥探。然而，意大利威尼斯Cafoscari大学和奥地利Tu Wien大学的研究人员的新发现表明，相当多的加密网站仍然公开这些数据。亚马逊旗下的分析公司阿列克谢分析了全球排名前10，000的HTTPS网站，研究人员发现5.5%的网站存在潜在的顶级域名系统漏洞。这些漏洞是由站点实施TLS加密方案以及未能修复和合成TLS及其前身安全套接字层中的已知漏洞(其中许多漏洞)所引起的问题造成的。但最糟糕的是，这些漏洞很难检测到，所以网站仍然会挂绿色的小锁。威尼斯卡佛卡里大学网络安全和密码学研究员、Cryptosense audit创始人之一里卡多佛卡迪(Riccardo Focardi)说:我们在论文中做出的假设是浏览器是最新的，但是我们发现的东西并没有被浏览器发现。这些问题还没有解决，甚至没有人注意到它们。我们想通过网站的顶级域名系统找出用户没有指出的这些问题。研究人员将在5月旧金山举行的IEEE安全与隐私研讨会上展示他们的所有研究成果。他们开发了顶级域名解析技术，并使用了现有密码文献中的一些技术来捕获和审查全球前10，000个站点中的顶级域名解析问题。他们将发现的漏洞分为三种类型。有些漏洞会带来风险，但攻击者很难单独依靠它们，因为使用它们需要多次启动相同的查询，并从小片段中缓慢推断信息。这些导致“部分泄漏”的错误可以帮助攻击者解密会话cookie之类的东西，因为每个站点查询都可能同时发送cookie。但是，如果您想要获得用户在给定会话中通常只发送一次的信息(如密码)，效率将会降低。另外两种更危险。可能导致“泄漏”的漏洞包括浏览器和网络服务器之间存在严重缺陷的加密通道，攻击者可以通过这些通道解密所有流量。最糟糕的是研究人员观察到的“被污染”的信道，攻击者不仅可以利用这些信道解密通信，还可以修改或操纵它们。这些是“中间人”攻击，HTTPS加密技术就是为了抵御这些攻击而创建的。肯·怀特(Kenn White)是一名安全工程师，也是开放加密审计项目的负责人，他说，实际上，研究人员发现的漏洞不一定是关键漏洞。其中许多是可利用的漏洞，但它们可能对黑客没有吸引力，因为利用这些漏洞比利用其他常见漏洞需要更多的时间，而且它们更容易在攻击中引起注意。但是他强调了这些发现对清理互联网计划的重要性。尽管“不要像2005年那样在网络服务器上处理cookie”和“使用顶级域名系统”是显而易见的，但研究发现，对于数量惊人的高流量网站来说，它们仍在与这些基本问题作斗争。对于网络开发人员来说，使用现代的超文本传输协议防篡改技术是非常重要的。研究人员表示，除了具体评估有多少网站存在顶级域名系统漏洞之外，该项目的一个关键问题是网络的基本连通性，以及一个页面上的一个小型顶级域名系统漏洞如何可能影响其他网站。Example.com的主页可能会使用可靠的HTTPS，但如果Example.com和两人之间有问题，他们之间的加密连接将会中断。当您拥有相互关联的域名时，它们可能共享敏感数据和cookie，这意味着当其中一台主机存在漏洞时，漏洞可能会扩散。在网络上，网址和主机之间有许多连接，这可能会扩大顶级域名系统漏洞的影响。研究人员已经确定了近91，000个相关网站。这些域名或者是前10，000个站点的子域，或者与这10，000个站点共享资源。这些相关站点中的TLS漏洞可能会引起连锁反应。 因此，在前10，000个网站中，5.5%的漏洞网站实际上包括前10，000个网站中的292个自身有漏洞的网站和5，282个相关网站。这些相关网站中的TLS漏洞给这10，000个网站带来了潜在风险。在所有漏洞中，超过4800个属于最严重的“受污染”漏洞，733个是可以解密但不能操纵的“泄漏”漏洞，912个是威胁较小的“部分泄漏”漏洞。在对网络安全的研究中，由相关性引起的众所周知的——漏洞可以概括为“你的优势取决于你最薄弱的环节”。威尼斯卡佛卡里大学的发现属于如何发现和减少这种类型的暴露的研究领域。Ca' Foscari的研究人员表示，他们正在根据自己的发现开发一种工具，帮助开发人员识别经常被忽视的顶级域名系统漏洞。由于网络的核心是大规模互连，因此能够捕获可能对整体安全性产生重大影响的小问题变得越来越重要。