不安全的HTTP協(xié)議、怎樣更安全使用UC瀏覽器？

uc瀏覽器電腦版v6.0.1471.913 官方最新版

• 類(lèi)型：瀏覽器類(lèi)大小：48.2M語(yǔ)言：中文 評(píng)分：9.3
• 標(biāo)簽：

立即下載

　去年底爆發(fā)的互聯(lián)網(wǎng)泄密風(fēng)波正擴(kuò)散至移動(dòng)互聯(lián)網(wǎng)領(lǐng)域，日前，一位自稱(chēng)初級(jí)黑客的網(wǎng)友在天涯網(wǎng)發(fā)布《有圖有真相 你還敢用UC上網(wǎng)嗎？》的帖子，聲稱(chēng)UC瀏覽器使用明文的方式傳輸用戶(hù)密碼，導(dǎo)致第三方可以輕松竊取UC瀏覽器用戶(hù)登錄各個(gè)網(wǎng)站的用戶(hù)名和密碼。

　　該文章給出了一個(gè)教程，通過(guò)筆記本電腦在星巴克、麥當(dāng)勞等人流密集地區(qū)偽造無(wú)密碼的無(wú)線(xiàn)熱點(diǎn)AP，在電腦上安裝Wireshark軟件進(jìn)行抓包，如果用戶(hù)使用UC瀏覽器登錄Gmail、Hotmail等網(wǎng)站，用戶(hù)提交的用戶(hù)名和密碼就會(huì)被Wireshark截獲，使得原本安全的HTTPS連接信息，包含用戶(hù)名和密碼都遭到明文泄漏。在稍后的一篇文章中，該用戶(hù)還測(cè)試了其他品牌的手機(jī)瀏覽器。

　　為了驗(yàn)證UC瀏覽器是否真的明文傳輸密碼，我在自己的電腦上進(jìn)行了實(shí)測(cè)，電腦端用ADSL撥號(hào)上網(wǎng)，然后將電腦的無(wú)線(xiàn)網(wǎng)卡模擬出一個(gè)無(wú)線(xiàn)熱點(diǎn)AP，在手機(jī)上安裝蘋(píng)果美國(guó)商店App Store的最新UC瀏覽器V8.2.1.132，手機(jī)端通過(guò)這個(gè)WiFi熱點(diǎn)上網(wǎng)。

　　在手機(jī)上打開(kāi)UC瀏覽器，然后訪問(wèn)Gmail登錄，同時(shí)在電腦上啟用Wireshark進(jìn)行抓包監(jiān)聽(tīng)，我測(cè)試登錄的用戶(hù)名為williamlong，密碼為1234567890123，登錄完成后停止抓包然后進(jìn)行分析，抓包的截圖顯示該用戶(hù)名和密碼為明文傳輸，通訊協(xié)議為HTTP，連接的是廣州的一臺(tái)服務(wù)器，這證明了原有的HTTPS安全連接遭到了破壞。

　　為什么HTTPS是安全的？

　　HTTPS（超文本傳輸安全協(xié)議，Hypertext Transfer Protocol Secure）是一種常見(jiàn)的網(wǎng)絡(luò)傳輸協(xié)議，提供客戶(hù)端和服務(wù)器的加密通訊，HTTPS的主要思想是在不安全的網(wǎng)絡(luò)上創(chuàng)建一安全信道，對(duì)監(jiān)聽(tīng)和中間人攻擊提供合理的保護(hù)。

　　我們知道，HTTP是不安全的，通過(guò)監(jiān)聽(tīng)和中間人攻擊等手段，可以獲取網(wǎng)站帳戶(hù)和敏感信息等，HTTPS被設(shè)計(jì)為可防止前述攻擊，并被認(rèn)為是安全的。

　　比如上面這個(gè)案例，通過(guò)偽造WiFi熱點(diǎn)進(jìn)行抓包監(jiān)聽(tīng)，如果手機(jī)使用原生瀏覽器的話(huà)，通常來(lái)說(shuō)，是無(wú)法監(jiān)聽(tīng)到HTTPS方式訪問(wèn)的內(nèi)容，HTTPS通訊內(nèi)容均為加密信息，很難被破解。但是所有的HTTP訪問(wèn)信息都會(huì)被獲取，如果用戶(hù)使用HTTP訪問(wèn)一些隱私信息，則存在隱私泄漏的風(fēng)險(xiǎn)，例如用戶(hù)使用百度搜索（目前百度只有HTTP版本），那么搜素的關(guān)鍵詞就會(huì)被第三方監(jiān)聽(tīng)，從而帶來(lái)泄密的風(fēng)險(xiǎn)，這也就是2010年5月Google在全球部署HTTPS加密搜索的原因了，有了HTTPS版本的Google搜索，手機(jī)用戶(hù)即使在不安全的無(wú)線(xiàn)熱點(diǎn)進(jìn)行搜索，其搜索的內(nèi)容也不會(huì)被人竊取。

　　可見(jiàn)普通的HTTP瀏覽是不安全的，而HTTPS瀏覽相比比較安全。

　　UC瀏覽器的問(wèn)題

　　從上面的分析可知，使用手機(jī)內(nèi)置的瀏覽器，在不安全的WiFi下訪問(wèn)HTTPS仍然是相對(duì)安全的，然而UC瀏覽器是一種中轉(zhuǎn)壓縮的技術(shù)進(jìn)行加速，實(shí)現(xiàn)快捷上網(wǎng)，節(jié)省用戶(hù)流量，這樣，所有的訪問(wèn)都通過(guò)UC的代理服務(wù)器整理后傳送UC瀏覽器客戶(hù)端。當(dāng)用戶(hù)通過(guò)UC瀏覽器登錄Gmail的時(shí)候，UC瀏覽器會(huì)把用戶(hù)訪問(wèn)的URL地址和提交的信息發(fā)送到附近的一臺(tái)UC服務(wù)器，這里存在的漏洞是，UC瀏覽器手機(jī)端和UC服務(wù)器之間的通訊是采用HTTP協(xié)議，并且包括用戶(hù)名和密碼在內(nèi)的所有信息均為明文傳輸，這使得UC瀏覽器和UC服務(wù)器之間的通訊可以被監(jiān)聽(tīng)和抓包，第三方可以通過(guò)這種方法獲取手機(jī)用戶(hù)的帳戶(hù)密碼等敏感信息，用戶(hù)通過(guò)登錄的任何網(wǎng)站都會(huì)被監(jiān)聽(tīng)，包括郵箱、網(wǎng)站后臺(tái)、網(wǎng)銀、網(wǎng)上支付等。

　　針對(duì)這個(gè)漏洞，UC產(chǎn)品總裁何小鵬在微博上表示，會(huì)在之后重新評(píng)估，如何更全面的保護(hù)用戶(hù)的手機(jī)上網(wǎng)安全和信息安全，同時(shí)提供一個(gè)較好的手機(jī)上網(wǎng)安全增強(qiáng)方案。

　　對(duì)UC用戶(hù)的建議

　　目前使用UC瀏覽器的用戶(hù)，在麥當(dāng)勞、星巴克等公共場(chǎng)所上網(wǎng)的時(shí)候，盡量不要使用未知的WiFi熱點(diǎn)，如果使用的話(huà)，只要不進(jìn)行登錄操作，只是純粹瀏覽網(wǎng)頁(yè)，就沒(méi)有安全性問(wèn)題。如果需要登錄的話(huà)，應(yīng)該在UC瀏覽器中關(guān)閉其加速代理服務(wù)，然后再進(jìn)行登錄。

uc瀏覽器

專(zhuān)區(qū)首頁(yè)使用教程其他平臺(tái)軟件資訊破解版

進(jìn)入專(zhuān)區(qū)