这是一个创建于 615 天前的主题,其中的信息可能已经有所发展或是发生改变。
HTTPS 安全是因为有 SSL 加密,网管直接抓包是看不到具体内容的。
但是,我发现 chrome 会把很安全的 SSL 密钥导出到明文,仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE),就能轻易做到!
这意味着,公司网管只要在我机器上简简单单配置一个环境变量,我电脑上 chrome 浏览的所有网站,用户密码,他都能直接看到。并且 chrome 浏览器毫无风险提示信息,让人非常没有安全感。
但是,我发现 chrome 会把很安全的 SSL 密钥导出到明文,仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE),就能轻易做到!
这意味着,公司网管只要在我机器上简简单单配置一个环境变量,我电脑上 chrome 浏览的所有网站,用户密码,他都能直接看到。并且 chrome 浏览器毫无风险提示信息,让人非常没有安全感。
 |
101
msg7086 2023-03-10 08:03:53 +08:00
导出了秘钥你别给网管不就解密不了你的信息了。
啊?网管能随意读写你硬盘上的文件?那你说个屁咧。 |
 |
102
shijingshijing 2023-03-10 09:17:50 +08:00
https 目前在国内最大的意义是防止电信劫持,你质疑的场景都错了,公司电脑 IT 部门随便控制的,什么让你造成了公司电脑应该我来完全控制的假象?
|
 |
103
gollwang 2023-03-10 09:19:55 +08:00
打个比方,https 就像是一把锁,安全在于这把锁能够锁住重要信息,你没办法在不通过钥匙的情况下打开门,而你现在的情况是钥匙给了别人,现在回过头了怪锁不安全,为什么钥匙可以打开。。。
|
 |
105
yunweier 2023-03-10 09:52:45 +08:00
https 是解决传输层面的窃听,能入侵你电脑了,别说环境变量,Chrome 的密码、浏览记录统统都能明文拿到
|
 |
106
interim 2023-03-10 09:57:21 +08:00
看到这个头像就知道又有暴论了...
|
 |
107
b1u2g3 2023-03-10 10:05:12 +08:00
谢谢#100 楼的提示
原来 OP 是当初的那位,大家可以散了。。。 |
 |
108
zpf124 2023-03-10 10:58:31 +08:00
https 一直是安全的,不安全的你的电脑,我之前在另一个帖子就说过类似的问题,https://v2ex.com/t/830030#reply47 。
https://imgur.com/rBAqkQC |
 |
109
zagfai 2023-03-10 14:07:24 +08:00
https 从来都不安全,不然银行 app 都不会自己做固定公私钥,国家出自己的根证书了
|
Select Language