这是一个创建于 3187 天前的主题,其中的信息可能已经有所发展或是发生改变。
运营商如果使用中间人攻击之类的技术,可以成功破解 https 并且不让用户发现吗?
 | 1 letitbesqzr 2017-03-10 14:25:16 +08:00 如果说中间人攻击技术的话..劫持一些不带 ssl 软件的自动更新,更新个带马的包下来.算不算 |
 | 2 gamexg 2017-03-10 14:33:29 +08:00  1 配合 12306 、银行之类的可以做到。 但是很大可能被浏览器厂家揪出来。 |
 | 3 xiaopc 2017-03-10 14:37:50 +08:00 via Android “破解“ HTTPS 运营商还是做不到的。 但是 什么用户?钓鱼链接都信的用户还是黑阔级的用户? 客户端是证书合法性都不校验的某些应用还是支持 hsts preload 的浏览器? |
 | 4 Aliencn 2017-03-10 15:04:05 +08:00 如果你信任了运营商的证书的话,理论上就能被他“破解”你所有的 https 访问了 |
 | 5 thedog OP 如果运营商自己也申请一个合法的 https 证书呢 |
 | 6 cevincheung 2017-03-10 15:11:19 +08:00 @thedog #5 看谁签发啊。还记得 CNNIC 被 google chrome 拉黑么? |
| 7 thedog OP @cevincheung 我对证书签发不是很了解,这个证书不是声称自己要办理网站,或者付费就能够申请的吗? |
 | 8 tabris17 2017-03-10 15:17:07 +08:00 只要 CNNIC 的根证书在你浏览器里,就可以 |
 | 9 RobertYang 2017-03-10 15:19:25 +08:00 via Android 1 @thedog 如果你要申请证书并且被浏览器信任,那么你申请证书的地方( CA )是被浏览器信任的,你申请证书的域名必须证明是自己的。 CA 发假证书也是有的,但是被发现了直接会被整个拉黑掉,可以看 CNNIC 的非法签发谷歌证书的事,导致现在 CNNIC 自己的网站都是使用的别家的证书 。 |
| 10 cevincheung 2017-03-10 15:20:25 +08:00 1 |
 | 11 RqPS6rhmP3Nyn3Tm 2017-03-10 15:20:35 +08:00 via iPhone 1 @thedog 你说的是根证书,不会给运营商的,一个 ca 价值可以上千万 |
 | 12 lshero 2017-03-10 15:24:57 +08:00 冒那么大风险破解 HTTPS ? 一个“星空极速” “宽带我世界”客户端分分钟焦作人 |
| 13 thedog OP |
 | 14 whileFalse 2017-03-10 15:34:19 +08:00 @lshero 那是什么 |
| 15 RobertYang 2017-03-10 15:44:38 +08:00 via Android @whileFalse 拨号客户端。。。校园网用户应该都是受害者 |
| 16 whileFalse 2017-03-10 15:46:11 +08:00 @RobertYang 那他和 https 有什么关系呢? |
| 17 lshero 2017-03-10 16:15:55 +0:00 @whileFalse 都装到客户端了传输过程中再怎么加密也没有用啊。就和浏览器乱装插件 https 的页面里依旧可以植入小广告一样 |
| 18 whileFalse 2017-03-10 16:17:32 +08:00 @lshero 这个客户端会往系统里插入根证书吗? 另外 Firefox 不依赖系统根证书。 |
 | 19 xia0pia0 2017-03-10 16:21:09 +08:00 看谁签的吧,国内签的有问题,不代表国外签的也没问题。就好比以前还有 sha1 加密的 SSL 证书呢,安全应该是相对的。如果运营商在 CIA 培训过,我认为能。 |
| 20 lshero 2017-03-10 16:24:39 +08:00 @whileFalse 目前看来对于公众服务的拨号客户端没有这样的历史,不代表没有这样的能力。而且客户端除了校园网外基本已经都被淘汰了,所以没必要有这样的担心。 一些杀毒软件采用了插入证书的方式来扫描 https 的安全 http://tieba.baidu.com/p/3492953883 |
 | 21 ferock PRO 楼上真是想象力丰富 |
 | 22 sunsol 2017-03-10 16:39:03 +08:00 那么多用 360 浏览器的,根本用不着从网络下手。 |
 | 23 bumz 2017-03-10 17:49:20 +08:00 运营商仅靠自己的力量就能破 TLS 的话, TLS 就作废了 当然神一样的对手不如猪一样的队友 几乎每个人的电脑里都安装了一些猪一样的队友 |
 | 24 Ouyangan 2017-03-10 18:42:39 +08:00 等量子计算机普及.. |
 | 25 300 2017-03-10 19:29:31 +08:00 运营商没这精力吧。。。。 如果有人非要这么做的话,不如直接查水表来的快 |
 | 26 jiangzhuo 2017-03-10 19:31:55 +08:00 那么多浏览器,那么多插件,犯不着从 https 上下手。 |
 | 27 tSQghkfhTtQt9mtd 2017-03-10 19:51:44 +08:00 via Android @Aliencn 不一定,应用了 HPKP 技术的站点可以防 |
 | 28 j8sec 2017-03-11 20:17:45 +08:00 via iPhone 能啊 很多运营商都被 webtrust 审计过了 |
 | 29 namebus 2017-03-12 18:08:04 +08:00 楼主说的运营商破解,实际就是指的从可信的层面,这是完全不可能(想都不要想),也没有哪家 CA 敢签发这个属于中间人攻击的证书,看看 CNNIC 和 WoSign 两家的下场就知道了,只要你偷偷干了坏事,太容易被发现,而且一但发现,后果都是最严重的那种。 |
 | 30 Hardrain 2017-03-15 10:37:26 +08:00 1.配合 12306 ,让他们用 SRCA 签假证书来 MITM 估计很多人会中招 2.运营商想尽办法令用户无法使用路由器,要求在电脑上安装软件(校园网?), 这个软件向系统插入自己的根证书,然后 MITM 很多用户会忽略 UAC ,甚至将其关闭 3.Logjam 或 FREAK 攻击,不过应该没有什么 Client 还支持 export cipher 或者是<1024-bit 的 DH 密钥交换不太可行 |
| 31 Hardrain 2017-03-15 10:39:35 +08:00 另: 如果网站使用 HPKP ,且 Client 已经和网站建立过安全的连接,上述 1 和 2 恐怕就无法实施了 而如果是第一次连接时 ISP 就想要嗅探,那 HPKP 也没有用了,毕竟没有 HPKP Preload. |
 | 32 yryz 2017-03-16 18:44:19 +08:00 如果是这样的 SSL 配置,再强大的证书也无法保证安全 https://myssl.com/mail.scmc.com.cn |
 | 33 e8c47a0d 2018-08-09 10:41:02 +08:00 如果只是中间人攻击的话,你的客户端会提示证书错误的。 如果是暴破的话,除非 SSL 很弱,否则几乎不可能的。 |
Select Language