配置错误的Tor站点通过SSL证书暴露公共IP地址

更多全球网络安全资讯尽在E安全

Chrome 浏览器诞生10年，谷歌居然想“灭掉”URL

本文来源E安全

刚刚度过 20 岁生日的 Google 又迎来了新的里程碑，旗下的 Chrome 浏览器也 10 岁了，Chrome 团队在成军十年这个节骨眼上又准备玩票大的，他们要重新思考 URL 的地位。

URL 是 Uniform Resource Locators（意为统一资源定位器）的全称，与我们每天都要使用的网址密切相关。复杂且含混不清的 URL 给了网络罪犯可乘之机。网络罪犯会假冒合法机构，在网上“钓鱼”，搞虚假网络服务或者盗窃他人敏感数据。除了网民警惕性差这一点，Chrome 团队认为 URL 也有责任，因为用户很难通过这一连串数字知道他们到底在和谁打交道， URL 中哪部分可信。因此，URL 需要来一次变革，但并不是颠覆 URL。，或许只是 Chrome 展示 URL 的方式和时间会发生巨变。

Chrome 团队认为，URL 已经不是网站身份的最佳搬运工了，他们想让所有人都看得懂网络身份，用户使用网络时知道自己在和谁交流，了解谁值得信任。

Chrome 团队在2014 年时，就尝试了一个名为“起源碎片”的格式化功能，浏览器会只显示出网站主域名，以帮助用户了解他们到底在浏览什么网站。如果用户想看到完整的 URL，只需点击“碎片”就行。

配置错误的Tor站点通过SSL证书暴露公共IP地址

本文来源E安全

RiskIQ 的安全研究人员发现，许多使用 SSL 证书的 Tor 站点可能会因配置错误暴露真实服务器的公共 IP 地址。研究人员指出，托管隐藏服务的服务器在配置正确的情况下仅监听本机地址（127.0.0.1）。但是如果让 Apache 服务器或 Nginx 服务器监听0.0.0.0，就意味着服务器可绕过 Tor 直接与外部建立连接，这样一来，这些配置错误的服务器的真实IP就容易被发现。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com