@秒灵儿
2年前 提问
1个回答

SSL剥离攻击防御方法有什么

X0_0X
2年前

SSL剥离攻击防御方法有:

  • 为您自己的全网站启用SSL

    通常是在任何需要用户输入信息的网页上启用SSL,这是一个很好的开始。但是最好的做法是在整个网站上启用SSL——即使是不需要用户输入任何信息的页面——以避免从HTTP到HTTPS出现任何漏洞,确保更完整的保护。当您在SSL站点范围内启用SSL时,如果现代浏览器无法验证通过HTTPS连接的站点证书,他们甚至会为用户标记一个问题。这有助于提醒用户,继续访问连接可能会使他们容易受到攻击。

  • 在公司计算机上实施HSTS策略

    HSTS表示HTTP严格传输安全,并建立制度,即规定浏览器不应该打开没有HTTPS连接的页面,并且尽可能将用户从站点的HTTP版本重定向到站点的HTTPS版本。在所有公司拥有的设备上实施这种类型的制度可以防止用户访问不安全的网站,因为这意味着他们将无法打开通过HTTP连接的页面。

  • 为所有公司用户启用安全的Cookie

    所有网站都使用Cookie的话,能够在会话过程中识别和记住用户。为公司的所有用户启用安全Cookie意味着其他浏览器使用的所有Cookie将具有安全属性,只能通过安全的HTTPS连接发送,而不是不安全的HTTP连接发送。

  • 教育告知用户有关潜在的漏洞

    最后教育告知用户潜在的漏洞也有很大帮助。最大的教育要点之一是告知用户不要通过公共wifi网络进行连接,而是始终使用VPN连接。此外,与用户分享警告标志很有帮助,比如鼓励他们检查他们访问的任何网站的URL,以确保用的是HTTPS而不是HTTP,并注意URL栏中的挂锁,如果连接不安全的话,挂锁将解锁或有一个红色叉在上面。