這算漏洞?研究人員指責全球最大婚戀網站Match登錄頁未用HTTPS
責編:cnetsec |2015-04-21 09:37:32美國研究者Scott Bryner指出,全球最大婚戀網站Match.com的登錄頁面不知何原因由HTTPS跳轉為HTTP,這意味著用戶密碼的傳輸沒有受到加密保護,而這個問題已存在數周而無人關注。
抓包工具Wireshark
Wireshark(前稱Ethereal)是一個網絡封包分析軟件。其功能是擷取網絡封包,并盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口,直接與網卡進行數據報文交換。
網絡管理員使用Wireshark來檢測網絡問題,網絡安全工程師使用Wireshark來檢查資訊安全相關問題,開發者使用Wireshark來為新的通訊協定除錯,普通使用者使用Wireshark來學習網絡協定的相關知識。當然,有的人也會“居心叵測”的用它來抓包、嗅探和尋找網絡中的敏感信息……
Match登錄頁突然不用HTTPS了
從Wireshark數據包嗅探程序顯示的會話中可以發現,在Match.com登錄頁面上用戶輸入了用戶名“dan.goodin@arstechnica.com”以及密碼“secretpassword”。如下圖:
Match的登錄頁面竟然使用了一個不受保護的HTTP鏈接來傳送數據,如此一來,在同一公共網絡中的任何一位Match的用戶、流氓ISP(互聯網服務提供商)或電信公司員工以及國家“安全人員”都可以盜取用戶信息。小編:斯諾等事件后,美國民眾和研究者普遍對數據隱私要求的更加嚴格
當然如果Match遵循了常規安全措施并合理維護HTTPS登錄頁面的話,除了用戶和連接服務器之外的其他人是無法獲得包括用戶名和密碼在內的整個會話。
今年三月初Scott Bryner第一次發現Match的這一問題,目前尚不清楚該網頁存在未的時間有多久。在Bryner提供的上圖中顯示,Match發生服務器配置錯誤,所有HTTPS流量正被重定向至一個HTTP鏈接。
作為一個用戶數量級為數千萬甚至上億的網站,一旦數據泄露,數量是十分驚人的。
周邊:Match – 幫你找到與前任長相相似妹子的神奇網站
Match與去年聯合一家名為Three Day Rule的人臉識別技術公司,分析了Match.com 和Facebook 數據庫中的人臉。
然后“黑科技”來了,你只要告訴它你的前任長什么樣子(上傳一張照片,或者干脆貼出她的空間鏈接)網站便會提供一組與你前任長得差不多的妹子或者漢子……技術聽上去確實很是高端,不過服務費也少不了,半年會員費用是5000美元。