V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Maxwell272
V2EX  ›  互联网

在保证浏览的网页使用了 https 的情况下,我是否就不需要去担心钓鱼 wifi 的抓包以及公共 wifi 的中间人攻击了?

  •  
  •   Maxwell272 · 2017-12-19 21:57:07 +08:00 · 3506 次点击
    这是一个创建于 2525 天前的主题,其中的信息可能已经有所发展或是发生改变。

    emm,qq 微信这一类就暂且不去管,咱只说网站。 现在如果连上钓鱼 wifi,或者公众场合的 wifi 被人 MITM 攻击的话,还有可能被抓到帐号密码或者 cookie 吗? 一些使用 https 的网站如果没有上 HSTS,还是有可能会被 SSLstrip 的吧? 那如果是上了 HSTS,是否就可以说任何的抓包分析都无法攻破了呢? 这个问题一直想问..小白问题,求大佬轻喷

    10 条回复    2017-12-20 11:07:07 +08:00
    Maxwell272
        1
    Maxwell272  
    OP
       2017-12-19 22:00:52 +08:00
    https://zhuanlan.zhihu.com/p/32153145
    刚问完,就发现了一篇文章...也就是说到目前为止,除了这种办法,其他的手段都对 HSTS 束手无策吗?
    shoaly
        2
    shoaly  
       2017-12-19 22:04:03 +08:00
    理论上 你还得熟悉 你要访问的网站的证书是谁颁发的...
    因为中间人攻击的话, 他是可以伪造证书的, 一方面你的浏览器能够识别大多数伪造的证书, 但是不能 100%
    Maxwell272
        3
    Maxwell272  
    OP
       2017-12-19 22:13:06 +08:00
    @shoaly 谢谢。换言之,如果是一个个人攻击者通过伪造证书的方式来进行中间人攻击,在现今的浏览器面前,几乎都是无效的吧?
    just1
        4
    just1  
       2017-12-19 22:33:38 +08:00 via Android
    如果攻击者有能力获得信任 ca 颁发的证书是可以的。但是成本太高了。不过我想,cia 可能有办法(我随便说说的)。
    miyuki
        5
    miyuki  
       2017-12-20 01:12:17 +08:00 via Android
    一般情况下,是没问题的

    特殊情况是: 信任的 CA 干坏事签发证书用于 MITM
    normanzb
        6
    normanzb  
       2017-12-20 03:40:31 +08:00 via Android
    感觉这事国内的情况不太一样。记得之前 12306 火车票网站没有安全证书,于是直接生产了个证书要求用户下载安装,结果还把根证书的下载给开放出来了,这个网站的用户几乎遍布全国了,想象一下坏人拿了这个根证书,生成劫持网站的证书,再做 mitm 攻击,多么可怕。

    另外去年 startssl 网站办法的免费证书被 chrome 和 firefox 禁用了,理由是这家 startssl,被国内一家公司购买了,而国内这家公司曾经颁发过 github 证书未授权用户,当时有许多用户反映访问 github 时发现证书颁发机构变成国内公司了。这至少说明两个问题:一、国内这些证书办法机构很可能守不了规矩。二、Edge 和 safari 还没屏蔽 startssl。
    vefawn1
        7
    vefawn1  
       2017-12-20 05:12:37 +08:00 via Android
    @normanzb 为什么几乎所有中国证书颁发公司都那么流氓?
    WuwuGin
        8
    WuwuGin  
       2017-12-20 05:17:13 +08:00 via Android
    @vefawn1 能把根域名服务器给投毒的地方还有什么不能做出来。
    intheplants
        9
    intheplants  
       2017-12-20 09:28:49 +08:00 via iPhone
    当年 cnnic 还给某埃及公司颁发过 Gmail 的证书,被发现后就被所有主流浏览器封杀了
    WillTimeCondense
        10
    WillTimeCondense  
       2017-12-20 11:07:07 +08:00 via Android
    @normanzb 根证书也开放下载? mdzz
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3904 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 05:09 · PVG 13:09 · LAX 21:09 · JFK 00:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.