QQ登录的加密传输安全
[安全技术类评论]
安全技术团队PST有一篇文章《QQ网站登录的RSA加密传输缺陷分析》,内容大概是QQ登录密码使用了低成本的RSA进行加密传输,从而让黑客有可乘之机,使其可以通过伪造RSA密钥的方法获得QQ密码。
昨天被月光提及,并提供了一种"不传输完整加密数据"的防御方法,作为RSA的补充,加密后的数据会被截断,即使黑客掌握解密匙,也无法获得密码本身。
文中伪造的RSA密钥,将通过ARP攻击发送,这种方法已被广泛应用在木马散播上。目前国内应对ARP攻击的防御能力还十分薄弱,只要被刷得狠一些,大部分中文防御工具都会立即失效。
有人提议,既然ARP攻击,不如直接更改加密程序,跳过RSA,获得完整密码,岂不更好。这种方法,令黑客工作量大增,但上面讨论,也同时失去了效用。
作为最终办法,两篇文章都赞扬了SSL的安全性。不过,云舒的一篇《如何进行https中间人攻击》,却又提供了另一种针对SSL的方法,并且写出了实例。
综上所述,一切措施都是徒劳,用户还是会丢失Q号,听天由命吧。
------
实在太难理解Q民的狂热,怎么大家就喜欢拿QQ说事呢?
PS: 链接一下 博客串联:5 个关于你的问题
没关系,一般盗号的人技术都不强...强的人一般都不盗号...
很少用QQ,被盗了也无所谓,哇卡卡
你不觉得吗?因为QQ好盗,中国网民的防御意识才逐渐增强。至少我身边很多裸奔很久的朋友开始跟我讨论杀软问题了。。。。。额。。我现在的痛苦不是要给他们解释杀软的好处,而是要教会他们杀软跟防火墙是不一样的。。。- -|||
已经慢慢远离qq。
奇虎360有APR攻击防护,不知道有作用怎样
很同意sofish的说法:
能叫做黑客的在中国其实就是红客,他们不但有高超的技术,而且有崇高的品德。而所谓的“盗客”就难得称赏了~~~
加密这东西好玩,是我下年的研究方向,前进。
老黄,360 Arp FW,倒的挺爱的。它倒下的同时,如果你点击重新获取正确网关,它等几秒后,报告有Arp攻击。一看攻击报告里头的恶意mac,结果恶意的mac恰恰是正确网关发来的。
防不胜防啊,前天我的Q就被盗了,资料被改的一塌糊涂。幸亏有密保