之前,Firefox宣布将所有网页的公开功能要求使用HTTPS。同时,要宣布在2018年9月推出Firefox 62,要求AppCache必须通过HTTPS提供服务。换句话说,Firefox已将AppCache限制为安全上下文。
什么是AppCache
AppCache,中文为应用程序缓存,是对app内存缓存的方案,具体表现为当请求某个文件时不是从网络获取该文件,而是从本地获取。为离线运行其网站的网站管理员提供缓存机制。现在,它可以用于HTTP以及HTTPS页面。
同时AppCache不仅能离线运行站点,许多网站管理员使用AppCache提高加载速度并减少服务器负载的利器。
从安全角度出发,如果AppCache仍旧使用HTTP网站上运行,就会存在巨大的安全隐患。借用Mozilla的话来说,因为“AppCache在重新验缓存方面是具有局限性,它允许攻击者通过一个清单设置成一个错误的缓存文件,诱骗浏览器,使浏览器无法重新验证缓存。”
即当终端的浏览器加载启用AppCache的网站时,它会以缓存的形式存储该网站的数据。AppCache API在验证缓存文件时有其自身的局限性。因此,当用户再次访问的网站时,浏览器将从存储的缓存中提供数据,而不会验证所存储的缓存是否具有相同的格式。
假设客户端连接了Wi-Fi网络,使用AppCache访问过网站,浏览器存储缓存。当攻击者连接到同一个网络时,就可以以某种方式操作这个存储的缓存,并且使浏览器(AppCache)无法识别,原因是无法验证缓存。 因此,如果攻击者设法操纵缓存并添加iframe(就像嵌入一样),就可欺骗用户提供其敏感信息。
如一个域名为trustauth.cn的AppCache启用的HTTP站点,网络犯罪分子就可设法插入一个虚假的Facebook登录页面。当终端用户访问,并输入电子邮件ID和密码,犯罪分子就可获取相关的信息。由于HTTP是明文传输协议,存在较大的安全隐患。这就是Firefox要将AppCache功能限制在HTTPS上的原因。
HTTP正在走向一场缓慢而痛苦的死亡
2017年起,Google Chrome逐渐将所有HTTP网站标记为“不安全”。同样,其他主流浏览器也纷纷效仿,反对不安全的HTTP协议。为了让更多用户能够快速正确部署HTTPS协议,国内信息安全服务商数安时代(GDCA)为国内广大站长提供多种SSL证书,并提供相关的技术支持,确保用户的网站正确迁移到HTTPS。
领取优惠
提交成功!