`
WS_Daniel
  • 浏览: 24544 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

Superfish事件:自签名SSL证书惹的祸

阅读更多

     春节期间爆发的“Superfish”事件持续发酵,引发整个社会舆论的大哗。Superfish是一款广告应用软件,内置的算法可以帮助用户找到和发现产品,在搜索引擎中对购物进行图片分析、搜索以找到更低的价格,其实算是广告软件中比较优秀的。联想与“Superfish”合作可提升用户体验,开拓软硬件结合的获利模式,本来是一件好事,为何却酿成如此大的品牌危机?这款电脑预装软件究竟具有怎样的安全风险呢?

 

据国外研究人员表示,导致Superfish引发安全风险的始作俑者是由Komodia公司提供的SDK(Software Development Kit,软件开发工具包),该SDK生成不受浏览器信任的自签名SSL证书,使用了较弱的加密算法,使用该SDK的产品在每台计算机上内置的根证书是相同的,而且证书密码都是“komodia”,极易导致SSL的中间人攻击。这意味着安装了Superfish的用户电脑和网站服务器之间的加密信息可被解密、篡改,而恶意黑客可以利用该漏洞向客户端电脑发起钓鱼网站攻击,用户可能面临隐私泄漏、被钓鱼等严重威胁。如此看来,消费者的愤怒就不难理解了。


 

国内知名数字证书颁发机构沃通WoSign的安全专家认为,因为自签名SSL证书导致如此大的安全漏洞,最终毁掉了一个好产品和一个极具前景的项目,是非常可惜的。该专家解释道,自签名SSL证书可以随意签发,没有第三方监督审核,不受浏览器信任,常被用于伪造证书进行中间人攻击,劫持SSL加密流量。很多软件开发商为了节约成本,采用自签名SSL证书,其实是给自己的产品埋下了一颗定时炮弹,随时可能被黑客利用。

 

这一事件给合作三方都带来了巨大负面影响,也给所有厂商敲响警钟,无论是硬件提供商或是软件开发商,都有责任为用户提供更好、更安全的产品,本着对用户负责的态度,加强产品的安全性能,尊重用户的隐私,保护用户的数据安全。

 

沃通安全专家介绍称,为了让更多用户享受更安全的产品和互联网环境,沃通WoSign全球率先提供2年期的多域名免费SSL证书,受所有浏览器信任,让所有开发商零成本实现SSL加密安全,无需再使用安全风险极高的自签名SSL证书。

 

沃通WoSign是全球信任的CA机构,连续多年通过Webtrust国际审计,严格按照国际标准验证审核,可签发的正规SSL证书,即使是免费SSL证书,也必须通过审核才能签发,不能随意获取。沃通CA签发的证书受所有浏览器信任,一旦遭遇中间人攻击,浏览器会自动报警提醒用户,有效防止中间人劫持和钓鱼攻击。沃通WoSign也将持续提供更优质的安全产品和服务,守护用户的数据安全。

分享到:
评论

相关推荐

    Superfish 控件

    而Superfish使用的是自签证书,这意味着没有权威机构验证其身份,任何人都可以伪造证书,从而破坏SSL/TLS的安全机制。 **4. 中间人攻击** 中间人攻击是一种网络攻击形式,攻击者在通信双方之间插入自己,拦截并...

    jquery superfish插件菜单

    2. **事件监听**:你可以监听Superfish的特定事件,如`sf-init`、`sf-hover`等,进行更复杂的交互处理。 3. **自定义函数**:可以通过扩展Superfish的API,添加自己的方法或改变其行为。 总的来说,jQuery ...

    jquery.superfish.js导航菜单插件制作无限极菜单

    《使用jQuery Superfish插件构建无限级导航菜单》 在网页设计中,导航菜单是至关重要的组成部分,它帮助用户在网站中快速定位并浏览所需内容。jQuery Superfish插件是一款强大的、可扩展的导航菜单解决方案,尤其...

    superfish导航菜单样式

    **Superfish 导航菜单详解** 在网页设计中,导航菜单是至关重要的组成部分,它引导用户轻松地在网站的不同部分之间进行浏览。Superfish是一款流行的JavaScript插件,专门用于创建功能强大且美观的多级下拉导航菜单...

    superfishal:在受 SuperFish 感染的客户端上嗅探 SSL 流量

    **SuperFish:安全威胁概述** SuperFish是一款由 Lenovo 在某些消费级笔记本电脑上预装的广告软件,旨在为用户提供购物比价服务。然而,这款软件却因为存在严重的安全漏洞而引发了广泛关注。SuperFish通过安装一个...

    superfish-1.4.8 jquery下拉菜单组件

    **Superfish - jQuery 下拉菜单组件** `Superfish` 是一个功能丰富的 jQuery 插件,专为创建响应式、易自定义的下拉菜单而设计。这个组件版本为 `1.4.8`,适用于创建水平或垂直布局的菜单,且具有避免被页面中的 `...

    前端项目-superfish.zip

    2. **触摸设备支持**:考虑到移动设备的广泛使用,Superfish 优化了触摸事件,使得用户在手机或平板电脑上也能流畅地展开和关闭菜单。 3. **键盘交互**:除了鼠标操作,Superfish 还允许用户通过键盘快捷键进行导航...

    superfish使用例子

    **Superfish 使用详解** Superfish 是一款非常流行的 jQuery 插件,主要用于创建具有高级功能的下拉菜单。这款插件以其易用性、灵活性和出色的用户体验而受到开发者的喜爱。在本文中,我们将深入探讨 Superfish 的...

    superfish-master.zip

    **Superfish jQuery 插件详解** Superfish 是一个广受欢迎的 jQuery 插件,主要用于创建交互式的、响应式的下拉菜单。它为网页设计者提供了一种优雅的方式来组织和展示网站的导航菜单,使得用户在各种设备上都能...

    superfish.js 下载

    在Superfish.js中,jQuery用于实现下拉菜单的交互逻辑,如响应用户的鼠标悬停、点击事件,以及处理菜单的显示和隐藏。jQuery的API使得这些功能的实现变得简单,减少了开发者编写复杂JavaScript代码的工作量。 ...

    superfish_1.4.8_能挡住下拉表单的CSS+JS下拉菜单.rar

    "Superfish 1.4.8" 是一个流行的JavaScript库,专门用于创建具有高级功能的下拉菜单。这个压缩包包含的资源可以帮助开发者构建出能够覆盖(或“挡住”)其他表单元素的CSS和JavaScript驱动的下拉菜单。下面我们将...

    superfish导航控件

    同时,由于采用了事件监听和延迟加载等优化策略,Superfish 能够在不影响页面加载速度的前提下,为用户提供流畅的导航体验。 压缩包中的 "superfish-1.4.8" 文件很可能是该控件的一个特定版本,包含了必要的...

    jquery.superfish.js下载

    SuperFish一款基于jQuery的级联下拉菜单 用法请看以下链接: http://blog.csdn.net/cheung1021/article/details/6700524

    superfish:SuperFish的API接口

    SuperFish的API接口 这是运行应用程序的后端。 它是用Go语言编写的,并且全部放在一个chat.go文件中(我知道不好的主意,但是它只有1000行,所以可以维护)。 这个应用程序是一个辅助项目,可以帮助我学习Go和...

    Superfish-Removal-Tool:用于应用服务和证书的联想 Superfish 清除工具

    用于应用服务和证书的联想 Superfish 清除工具 特征 卸载 Superfish 软件 从根证书存储中删除根证书 从 Mozilla 产品配置文件中删除根证书 (Mozilla/Thunderbird) 网络安全服务 (NSS) NSS 是一组由 Mozilla 开发的...

    联想官方提供移除联想内置Superfish广告软件方法.docx

    然而,Superfish存在严重的安全漏洞,因为它使用的是自签证书,这可能导致中间人攻击,使得黑客能够轻易地窃取用户的敏感信息,包括密码、信用卡详情等。 **为什么需要移除Superfish?** 由于Superfish的安全隐患...

    superfish-library-for-drupal-v1.1

    **超级鱼(Superfish)库在Drupal中的应用详解** 在Drupal这一强大且灵活的内容管理系统(CMS)中,创建用户友好的交互式菜单是一项至关重要的任务。"superfish-library-for-drupal-v1.1"是一个专门为Drupal设计的...

    多级下拉菜单:superfish

    superfish是一款可以制作多级下拉菜单的jquery插件,支持水平和垂直方向的菜单,下拉的菜单不会被标签select遮挡,支持动态下拉效果,如垂直向下伸展,支持阴影效果(IE6除外),用户可定制样式。

    联想工程师专用小工具 SuperFish检测及专用卸载工具V2.07.1

    联想工程师专用小工具 SuperFish检测及专用卸载工具V2.07.1联想工程师专用小工具 SuperFish检测及专用卸载工具V2.07.1联想工程师专用小工具 SuperFish检测及专用卸载工具V2.07.1联想工程师专用小工具 SuperFish检测...

    Superphish:在感染了 Superfish 恶意软件的计算机上静默拦截 SSL 的脚本

    该脚本将静默拦截本地网络上感染 Superfish 恶意软件的计算机建立的 SSL 连接。 所有流量都将记录到“superphish.log”中。 分三个阶段工作: 激活数据包转发 ARP中毒 使用 Superfish CA 密钥进行 SSL 拦截 定位...

Global site tag (gtag.js) - Google Analytics