人们都说 Google Chrome 浏览器安全,可是——
昨日,有网友告诉我 php.net 被挂马了。于是我在火狐浏览器中访问,果然得到了警告:
再去 Google 搜索一下,果然也被标记上了:
直接点击搜索结果会得到 Google 的警告:
但是,Google Chrome 浏览器访问竟然没有任何提示。
今天,这个警告已经移除了。php.net 官方发布了一些消息,证实它确实被攻破了。为了以防万一,他们吊销了 php.net 所使用的 SSL 证书。我于是尝试使用火狐访问使用了 SSL 的子站,比如这个 https://wiki.php.net/,火狐很明确地告诉我,它的证书已经被废弃了:
但是,Google Chrome 浏览器访问依然没有任何提示,表示安全的小绿锁依然鲜亮。
难道是 Google 认为 Google Chrome 浏览器本身已经足够安全,不仅能抵御任何它能检测出来的恶意网页,而且能在证书已被吊销的情况下判断出网页是否被篡改?
注:以上均为浏览器默认安全配置,我没有手动修改任何安全相关的选项。
更新:在 Google Chrome 的「设置」中,点击「显示高级设置…」,往后滚,找到「HTTPS/SSL」,把「检查服务器证书吊销状态」前边的框勾上,Google Chrome 就也会报告证书不可信了。
再次更新:通过 GoAgent 访问,没有收到任何关于服务器证书已经失效的提示。证实了我之前关于通过 GoAgent 访问 HTTPS 站点会降低安全性的猜测。
感谢 Eleven.i386 提供了部分截图。