世界上最坚固的网站 也有可能被攻击

　　即使是世界上最坚固的网站，也有可能被攻击。

　　最近，三大运营商劫持流量的事情让很多互联网公司群情激愤。面对伤痕累累的友商，阿里巴巴却在一旁作壁上观。因为其在去年就启动了淘宝、天猫等全站的协议加密。利用https协议让网站和用户之间的沟通全部采用密文传。作为中间人的运营商看不懂双方交流的内容，自然没有办法插足了。

　　

　　【采用https协议加密的淘宝网】

　　不过，一个最新爆出的漏洞显示：即使是加密的网络协议，仍然可以被破解。

　　加密协议的原理很简单，它的原理和二战时的密码电报类似。谁知道密钥，谁就可以成功翻译出讯息的内容。于是，想方设法破解密码，从而攻破加密协议一直是很多黑客的追求。早在90年代“https”协议被网景公司创立以来，就有安全研究员开发出了一种方法，这种方法的原理大概是：

　　1、黑客发送诸多请求，“拷问”服务器，

　　2、服务器只需要回答“是”或“否”，

　　3、程序根据服务器的回答来猜出正确的密钥。

　　不过，这种方法随着网络协议的升级而变得不太灵光。

　　显而易见，加密协议的密钥必须使用一个密码库。而加密协议使用的密码库名为“OpenSSL”。正是这个被无数黑客研究的全球最大的密码库被曝出漏洞，这个漏洞让黑客轻松破解加密协议。

　　【作为中间人，一旦破解加密协议，可以任意劫持双方通信内容】

　　这个漏洞的威力巨大，它可以直接干掉三分之一的全球最坚固网站，有1150台服务器受到影响。包括阿里巴巴、雅虎、微博在内的诸多网站都没有幸免。使用这个漏洞，可以任意劫持网站和用户之间的通信内容。双方究竟会看到什么信息，中间人是可以随意决定的。例如：

　　如果你想下载一个应用，攻击者可以让你看到中国移动的广告。

　　如果你想浏览一个网页，攻击者可以让你看到中国联通的广告。

　　如果你想使用一个App，攻击者可以让你看到中国电信的广告

　　幸亏这个致命漏洞是被安全研究员发现的，如果它被中国的运营商发现。天呐，后果不堪设想。。。。。

　　研究人员的描述称：

　　利用这个漏洞攻击一个网站，整个攻击过程不会超过八个小时，攻击成本大约在440美金左右。

　　而实际上，还没有黑客利用这个漏洞发动过真正的攻击，而 OpenSSL 已经发布了最新版本，修复了这个漏洞。鉴于无数黑客昼夜不眠地研究，加密协议很可能还会爆出新的漏洞。

　　所谓世界上最坚固的网站，也许只存在于我们的想象之中吧。