关于“蹭免费 wifi 有没有风险”的争论,@奥卡姆剃刀 和@yuange1975 谁说的更有道理一些?
whilgeek · 2014-10-03 13:46:31 +08:00 · 8650 次点击这是一个创建于 3686 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天看到他们吵了起来,相关微博: http://weibo.com/1820201245/BpOlsr0NY
 |
1
dangge 2014-10-03 14:01:19 +08:00
不知道网银的安全性能 但是我知道像中国移动的CMCC 做个假热点来钓账号密码并不难。。。。
别问我怎么知道的! |
 |
2
rainy3636 2014-10-03 14:02:25 +08:00
不是很懂,不过用免费WiFi挂着vpn应该比较安全吧?
|
 |
3
mornlight 2014-10-03 14:02:26 +08:00
没什么好讨论,袁哥是对的。
奥卡姆剃刀质疑的精神值得称赞,说得很多话也有道理,但是他毕竟不是搞安全这一行的,很多东西还是不懂。他对https的理解也有偏差,以为https加密是坚不可破的。余弦和tk教主也已经大致表明了态度。 另外,按袁哥的水平,国内有资格在技术上挑战他的没几个人。 |
 |
4
magine 2014-10-03 14:15:45 +08:00
凡是没从国外传入,而是国内媒体首创的警告,都值得怀疑。 好黑……
|
 |
5
FinalDream 2014-10-03 14:50:08 +08:00
奥卡姆剃刀多次在自己毫不了解的领域大放厥词,而且如果有人跟他讲道理他往往是纯喷,最擅长的就是链接中的这一招,比方舟子还要弱100倍
|
 |
7
hjc4869 2014-10-03 15:10:54 +08:00 via iPhone
蹭wifi的时候时时刻刻记住挂ipsec就行了。
|
|
8
mornlight 2014-10-03 15:12:25 +08:00
|
 |
9
gamexg 2014-10-03 15:12:29 +08:00
WiFi流量劫持:网站JS脚本缓存投毒!长期控制!浏览任意页面即可中毒!
http://lcx.cc/?i=4426 |
 |
12
jings 2014-10-03 15:39:24 +08:00 via Android
js污染 淘宝也能搞定
|
|
14
jings 2014-10-03 15:46:18 +08:00 via Android
最早是09年的一篇文章 很详细
关键词就是 js缓存投毒 |
 |
15
ehs2013 2014-10-03 15:51:12 +08:00
就算真的是公共部门开的 Wi-Fi,也有 MITM 的风险(ARP 劫持)
|
|
17
mornlight 2014-10-03 16:06:59 +08:00
@typcn 谈到中间人攻击大家都会想到https,而实际上已经有一个东西叫SSLStrip
另外,你也可以看看这个http://weibo.com/2404835845/BpPKxnbcn 蹭公共wifi有个很大的风险来源是有不少人与你在同一个局域网里了,这种环境和你自己在家里接入可信的私有wifi不一样。 |
 |
18
alexyangjie 2014-10-03 16:31:48 +08:00
@mornlight SSLStrip并没有破解SSL,而是利用人的安全意识薄弱,将HTTPS变成HTTP。只要用户能懂得访问安全网站的时候识别HTTPS(包括安全锁头标识),就能防范这种攻击。
|
 |
19
blacktulip 2014-10-03 16:42:04 +08:00
那么多页的讨论中间还有贼多的纯喷,谁有空看完,求 TLDR
|
|
20
mornlight 2014-10-03 16:45:52 +08:00
@alexyangjie SSL加密理论上不能破解,这个目前是没有问题的。但是原博认为网银是用的https所以肯定是安全的,拿不到密码,就不对了。即使浏览器显示是安全的https,仍然有手段拿到数据。
|
|
21
mornlight 2014-10-03 16:48:08 +08:00
@blacktulip 目前这事的状态是,掺和进了不少国内安全圈的高手表示呵呵,顺带王思聪也插了一脚,刀刀关闭评论了。
看起来他也像是个一根筋的人。 |
 |
22
jasontse 2014-10-03 17:07:40 +08:00 via iPad
首先双方的终端应该是靠谱无问题的,然后端到端的 SSL 必须是强健的,才谈得上安全。这样的前提下中间的链路确实没有那么重要。JS 缓存投毒也只适用于加载了不安全的 HTTP 资源的前提下。
|
 |
23
GhostFlying 2014-10-03 17:18:55 +08:00 via Android
感觉问题还是在于一般用户,包括很大一部分程序员,并不会一直检查确认https连接的证书(这个相对好点,一般假证书浏览器会有警告),页面内不加密资源以及记得登录页面要有SSL加密
不过说实话一直记得检查这种东西是蛮烦的,偶尔忘记也是不奇怪的 |
 |
24
Monad 2014-10-03 17:28:54 +08:00 via iPhone
就想知道挂着vpn安全不……
|
 |
25
cjjia 2014-10-03 17:38:16 +08:00
我只知道我用的网银需要手机验证码,知道密码也没用。
|
 |
26
virusdefender 2014-10-03 17:47:08 +08:00
他也敢去挑战袁哥。。
|
 |
27
hljjhb 2014-10-03 17:52:50 +08:00
|
 |
28
Cwind 2014-10-03 17:57:50 +08:00
原来争论的焦点是能否通过wifi获取银行卡密码
|
 |
29
1314258 2014-10-03 18:06:17 +08:00 via Android
我觉得袁哥不一定需要在https入手你知道嘛?凭借他对windows的熟悉,随时溢出你的ie,装个木马还不是容易的很?袁哥都上亿身价的人我会乱说?
|
 |
30
LMkillme 2014-10-03 18:10:11 +08:00
yuange可是一哥啊。。。在网安话题上,不信yuange,信奥傻那个门外汉么?
|
 |
31
loading 2014-10-03 18:46:46 +08:00
吊个QQ密码一点问题都没有!
多傻的陷阱都有人中!(这里的人在网络常识上比普罗大众高不少的,其实我们比很多人都聪明!) |
|
33
loading 2014-10-03 19:08:30 +08:00  1
@crab 做个钓鱼站就可以了。只要有一个人上 www.qq.com 就成功了,因为那是我的钓鱼站!!! 因为连 dns 也是我的。
|
|
35
mornlight 2014-10-03 19:22:49 +08:00 1
@crab 这个我不敢说可不可以,我也不擅长,你可以把思路放宽一点,不要限制在登录正常的网站然后POST数据出去这个环节上,单论https加密当然是不能破的。但可以肯定的是,如果真的有心要针对你个人套出密码,在局域网环境内有的是办法,手机和PC都一样。
|
|
36
mornlight 2014-10-03 19:23:43 +08:00
@Draplater 这次的讨论话题不明确,其实焦点不应该放在https本身上,而是这个网络环境是极其危险的,入侵和欺骗的方法太多。
|
 |
38
janxin 2014-10-03 20:23:15 +08:00
可能入侵的方式很多,针对手机,中间人完全可以胜任。
但是把问题聚焦一下,只是单纯从通讯链路上搞定支付宝,这个是不可能的,https 2048位证书和验证能够保证支付宝的通讯安全。 但是手机本身的安全怎么办? |
 |
39
zzNucker 2014-10-03 20:39:03 +08:00
门外汉和搞渗透的争,你说信谁的。
|
 |
40
ChiChou 2014-10-03 21:30:23 +08:00
@Draplater 的确。奥的观点应该是从 SSL 协议本身在密码学上的安全性来说,但这是建立在加密信道成功建立的前提下。在这个场景里,攻击者有太多办法破坏加密信道的创建了。奥太自信了。
|
 |
41
binux 2014-10-03 22:43:14 +08:00 1
我觉得他们争论的焦点在于,一个说一千次里(虚数)只要有一次能抓到银行卡帐号密码就行,另一个在说你每次都能抓到银行卡密码才算。
|
 |
42
xavierskip 2014-10-03 22:49:04 +08:00
以我理解的剃刀的意思,
如果连接是https的话,中间的链路是否安全已经不是很重要了。只要保证https连接是正确的,(银行提供这种安全的连接方式),你的网络数据被攻击者获取,他是无法破解的,因为加密过,从而保障安全。 从这一点看,连接来路不明的wifi,就算你获取了我的网络数据,我也不怕。 当然这个个非常单纯的想法,真实的环境远远没有这么简单,攻击者还有更多其他的方式来获取你的信息。 1.你可以挖系统漏洞来在让别人电脑被你远程操控。 2.你也可有诱骗小白用户点击安装来路不明的文件来挂马。 这两种情况,第二种真的是不安全吗? |
 |
43
Jimrussell 2014-10-04 00:21:10 +08:00
奥在本行之外的理论姿势被多次打脸了。不过公开网络里黑产给自己贴金的言论也不是一次两次了。如果奥的微博偏向于实现个人优越感和增加网络话语权,那黑产和安全那一方的言论则偏向于直接利益相关了。
袁是圈内一哥能说明什么呢?他的理论姿势v2的人不能理解吗? 最后10万不是怂了吗?而且赌约里面只是说“搞到网银密码”。人家有意识防范了,你随便什么方法搞中间人攻击,都很难了。 黑出明文密码这种,按我的理解,都是针对大量小白用户的手段,而且黑出来了怎么用也是难题。对银行账户这类来说,除了密码,现金操作过程中的手机验证更是一大麻烦事。除了纯技术方面,你社工花的时间精力可能更多而且收益不能保证。 像电影里面那种,为了黑一个超级富豪,hacking+社工N个月,然后冒着巨大风险转账成功并逍遥法外的黑客。我不知道在现在的2014年的中国是否还存在。 |
|
44
Jimrussell 2014-10-04 00:33:05 +08:00
我反感黑产嘴炮的原因是,他们很多流行言论的逻辑是:“我们圈里有XX个大神闷声发财了”+“我家后院有一只隐形的喷火龙,你没见过不能证明不存在”。
而实际上我了解到的闷声发大财的黑产“大神”,其年靠的是早年网游虚拟物品甚至q币“发财”的。然后转行做安全以后故事大家也都懂了。 |
 |
46
yaoye0o 2014-10-04 01:12:00 +08:00
我觉得用猎豹360畅无线什么的连cmcc chinanet挺好
|
 |
47
sdysj 2014-10-04 01:31:19 +08:00 1
那个剃刀就是要丢天朝真正的专家的脸来的,安全这行最幼稚就是在缺乏完备规则的擂台上单挑,扯谈自然就肯定了,而且天朝特色谈论安全最讨厌的就“你现在不能黑掉我,你是装逼”,而不是讨论技术本身可行性,这点天朝安全界就太缺乏,都藏着捏着,真正分享技术的还是不够国外来的多而且规范,剃刀这类人就抓这点赖死,在这个畸形国度希望大家都认识到且尝试改变吧。。。
|
 |
48
ctexlive 2014-10-04 02:08:05 +08:00
@mornlight 腾讯的这篇文章,讲了国内制作app的时候,为了贪图方便绕过google的标准api,而采用自己验证公共ca证书的代码。结果省却了验证这个缓解而导致丧失安全性。这是人为的错误。
目前支付宝,UC、opera浏览器等主流可支付的app都不会验证ca证书吗? |
 |
49
Owenjia 2014-10-04 02:30:34 +08:00
那个奥卡姆剃刀最后被打脸了还在那嘴硬,最反感的是他的行为,首先是骂人,然后王思聪回复就开始彬彬有礼的称别人王xx先生~~还有对自己不熟悉的领域妄加评论~~
|
 |
50
20150517 2014-10-04 02:49:57 +08:00 via Android
看到很多人坚称https密不可破,其实是不对的
https的安全性取决于证书,和证书链,但现在问题是你能保证所有的证书颁发都是通过合法的证书链?谷歌已经不是第一次发现一些流氓证书颁发机构发不合法证书了,而且你能保证所有证书颁发机构密钥都没泄露过?我随便颁发一个银行域名的证书,一些浏览器照样会以为是合法证书,不过好像firefox29已经开始处理这类问题了 证书链这一环破了,https安全性从何谈起? |
 |
51
ryd994 2014-10-04 04:25:17 +08:00
https只是保证传输安全而已。想获得密码方法多得是,不一定就要和https死嗑。
加密的只是一个通道,进通道前,出通道后,都不是https能管得了的。 不过现在在外面达WiFi坑人的我觉得还是小毛贼居多。对付这种小毛贼,保证本机基本安全,认准https,拒绝带http资源的https页面,应当是足够的。 挂l2tp当然更好,前提是备好CA证书。pptp就没啥意思了。 剃刀这样和yuange死嗑,最后无非就是被证明技术上可以被坑罢了。其实也不意味着公共wifi今后就不能用了,毕竟还有成本受益摆着。 |
 |
53
shen2014 2014-10-04 08:17:50 +08:00
@mornlight
如果未来都采用Hotspot 2.0技术免费WIFI会更安全。只是目前设备厂商(主要)、运营商不乐意推广。 因为WiFi作为和LTE竞争的技术,WIFI漫游问题一旦解决那运营商真的坐不住了。 WIFI从室内走向室外,LTE从室外走向室内,这条技术路线WIFI明显有优势,美国执意WiFi全频率开放的目的就是为了从内往外攻。 ---------------Wi-Fi CERTIFIED Passpoint于2012年作为一项行业范围的解决方案推出,它优化了热点中的网络接入流程,无需用户在每次连接网络时都进行网络查找和身份识别。通常来说,用户在每次连接网络时均须查找并选择一个网络,然后再请求连接到访问点,而且在多数情况下,用户需要重新输入他们的身份识别凭据。然而Passpoint能自动完成以上整个程序,实现热点网络和移动设备之间的无缝连接,与此同时还能提供最高级别的WPA2安全防护。 已经支持iOS7终端设备(iPhone5/5s/5c/6/6Plus、iPad3、iPadMini、iPadAir、iPadMiniRetina,iPodTouch第五代)以及运行OSXMavericks的苹果笔记本电脑。 |
|
55
mornlight 2014-10-04 10:54:33 +08:00
@ctexlive 连接公共wifi毫无疑问在任何环境下都是危险行为,SSL加密当然应该认为可信,但危险性并不仅仅来自https本身。我现在不想聊这个问题了,某刀新的几条微博简直是不要脸,不值得为这种人扯。
|
|
56
jasontse 2014-10-04 11:26:20 +08:00 via Android
@shen2014
802.1x 早就不是什么新鲜事情,公共场合除了 CMCC-AUTO 我还没见过哪个 WiFi 这么干。 |
|
57
virusdefender 2014-10-04 12:12:12 +08:00
@ctexlive 支付宝,UC、opera浏览器这几个我不清楚,我反正知道半年前很多银行的app是存在上面的那个漏洞。
|
 |
59
Bakemono 2014-10-04 13:32:50 +08:00 via iPad
redrain的demo已经很明确了.
虽然不严谨但是redrain爷爷也没必要弄个假的来骗人. |
 |
60
palxex 2014-10-04 13:51:50 +08:00
@Bakemono redrain那个视频怎么涉及https的我表示没看懂。那就是个opera上的网页,没怎么用过这个浏览器也看不清url,但是上面没有任何表示ssl链接的icon还是能看清的。
|
|
62
ctexlive 2014-10-04 18:35:37 +08:00 via Android
@mornlight 这里不谈剃刀的问题,而是谈具体的技术分析。危险性当然有。但现在谈的是https 证书验证这关。如果客户端没设计好有漏洞,那是人为错误,应该向客户端提交bug,而不是wifi本身的漏洞。如果客户端按照规范设计了,那么获取银行帐号密码有那么容易?当然可以回避https,但这需要中木马等方式。
|
|
63
ctexlive 2014-10-04 18:39:35 +08:00 via Android
@Bakemono 这个视频有问题,看不清如何验证ca证书的情况。太模糊了。我问了他三遍,都没有得到回答
|
|
64
ctexlive 2014-10-04 18:40:37 +08:00 via Android
@virusdefender 银行app有这种漏洞,只能说是设计的屎尿一样了
|
 |
65
Sharuru 2014-10-04 18:41:57 +08:00
=。= 只有我一个人觉得免费的wifi速度超慢,在外都是跑流量的么。
|
|
67
ctexlive 2014-10-04 19:30:21 +08:00
@Bakemono 他演示的是一个浏览器访问招行,输入卡号和登录密码,别截获。按照正常情况,浏览器访问招行必定会验证招行的证书是否合法。所以,他手机输入卡号之前应该能看到验证的结果,也就是一个安全锁的标志。但视频中看不到。
|
|
68
virusdefender 2014-10-04 19:49:59 +08:00
@palxex 没有加锁的话可能就是使用ssl strip
|
|
69
virusdefender 2014-10-04 19:50:31 +08:00
@ctexlive 这个世界远比你想象的危险 哈哈~
|
|
70
ctexlive 2014-10-04 19:52:35 +08:00
@virusdefender 安全本来就是不是一个绝对的概念。而是基于成本效益的综合妥协。只要在接受的风险之内享受便利和快捷即可。
|
|
75
gamexg 2014-10-05 13:42:49 +08:00
@hljjhb DNS 控制在自己手里面,所以连接哪个IP是可控制的。
另外先不说ssl证书乱发的问题,很少有用户手工输入 https 的。所以浏览器一开始访问的是 http 版本的,然后在跳转到https版本。但是如果连到伪造的网银页面还会让你跳转到 https 吗? 还有 uc 浏览器在 https 下默认并不显示网址,而是显示锁标志和网页标题。如果自己申请一个域名(不需要和icbc有关系)然后申请一个证书(也不需要和icbc有关系)。让 http 版本的 icbc.com.cn 跳转到自己的这个域名上,界面能达到和icbc的完全一样,甚至绿色的锁标记都一样。除非用户去点击地址栏然后看网址,不然根本看不出来跑到钓鱼站上面去了。 网址问题也可以解决, uc 默认也显示网址的后半部分,至少在我的手机上面网址的前半部分 "https://mybank1." 都不显示,也就是说我如果弄一个 http://aaa.com/mybank1.icbc.com.cn/xxx 的网页,只要根据分辨率计算好了xxx的长度 即使点了地址栏uc显示的也只是icbc.com.cn/xxx,用户只能自己往前拉才能看到完整的地址。 |
 |
76
exceloo 2014-10-05 22:15:06 +08:00
没必要盯着ssl/https,xss就可以了。转账的时候以为输得自己的帐号,其实request的时候变成了别人的...
|
Select Language