emm,qq 微信这一类就暂且不去管,咱只说网站。 现在如果连上钓鱼 wifi,或者公众场合的 wifi 被人 MITM 攻击的话,还有可能被抓到帐号密码或者 cookie 吗? 一些使用 https 的网站如果没有上 HSTS,还是有可能会被 SSLstrip 的吧? 那如果是上了 HSTS,是否就可以说任何的抓包分析都无法攻破了呢? 这个问题一直想问..小白问题,求大佬轻喷
1
Maxwell272 OP https://zhuanlan.zhihu.com/p/32153145
刚问完,就发现了一篇文章...也就是说到目前为止,除了这种办法,其他的手段都对 HSTS 束手无策吗? |
2
shoaly 2017-12-19 22:04:03 +08:00
理论上 你还得熟悉 你要访问的网站的证书是谁颁发的...
因为中间人攻击的话, 他是可以伪造证书的, 一方面你的浏览器能够识别大多数伪造的证书, 但是不能 100% |
3
Maxwell272 OP @shoaly 谢谢。换言之,如果是一个个人攻击者通过伪造证书的方式来进行中间人攻击,在现今的浏览器面前,几乎都是无效的吧?
|
4
just1 2017-12-19 22:33:38 +08:00 via Android
如果攻击者有能力获得信任 ca 颁发的证书是可以的。但是成本太高了。不过我想,cia 可能有办法(我随便说说的)。
|
5
miyuki 2017-12-20 01:12:17 +08:00 via Android
一般情况下,是没问题的
特殊情况是: 信任的 CA 干坏事签发证书用于 MITM |
6
normanzb 2017-12-20 03:40:31 +08:00 via Android
感觉这事国内的情况不太一样。记得之前 12306 火车票网站没有安全证书,于是直接生产了个证书要求用户下载安装,结果还把根证书的下载给开放出来了,这个网站的用户几乎遍布全国了,想象一下坏人拿了这个根证书,生成劫持网站的证书,再做 mitm 攻击,多么可怕。
另外去年 startssl 网站办法的免费证书被 chrome 和 firefox 禁用了,理由是这家 startssl,被国内一家公司购买了,而国内这家公司曾经颁发过 github 证书未授权用户,当时有许多用户反映访问 github 时发现证书颁发机构变成国内公司了。这至少说明两个问题:一、国内这些证书办法机构很可能守不了规矩。二、Edge 和 safari 还没屏蔽 startssl。 |
9
intheplants 2017-12-20 09:28:49 +08:00 via iPhone
当年 cnnic 还给某埃及公司颁发过 Gmail 的证书,被发现后就被所有主流浏览器封杀了
|
10
WillTimeCondense 2017-12-20 11:07:07 +08:00 via Android
@normanzb 根证书也开放下载? mdzz
|