在保证浏览的网页使用了 https 的情况下,我是否就不需要去担心钓鱼 wifi 的抓包以及公共 wifi 的中间人攻击了?
axwell272 2017-12-19 21:57:07 +08:00 3962 次点击这是一个创建于 2859 天前的主题,其中的信息可能已经有所发展或是发生改变。
emm,qq 微信这一类就暂且不去管,咱只说网站。 现在如果连上钓鱼 wifi,或者公众场合的 wifi 被人 MITM 攻击的话,还有可能被抓到帐号密码或者 cookie 吗? 一些使用 https 的网站如果没有上 HSTS,还是有可能会被 SSLstrip 的吧? 那如果是上了 HSTS,是否就可以说任何的抓包分析都无法攻破了呢? 这个问题一直想问..小白问题,求大佬轻喷
 | 1 Maxwell272 OP https://zhuanlan.zhihu.com/p/32153145 刚问完,就发现了一篇文章...也就是说到目前为止,除了这种办法,其他的手段都对 HSTS 束手无策吗? |
 | 2 shoaly 2017-12-19 22:04:03 +08:00 理论上 你还得熟悉 你要访问的网站的证书是谁颁发的... 因为中间人攻击的话, 他是可以伪造证书的, 一方面你的浏览器能够识别大多数伪造的证书, 但是不能 100% |
| 3 Maxwell272 OP @shoaly 谢谢。换言之,如果是一个个人攻击者通过伪造证书的方式来进行中间人攻击,在现今的浏览器面前,几乎都是无效的吧? |
 | 4 just1 2017-12-19 22:33:38 +08:00 via Android 如果攻击者有能力获得信任 ca 颁发的证书是可以的。但是成本太高了。不过我想,cia 可能有办法(我随便说说的)。 |
 | 5 miyuki 2017-12-20 01:12:17 +08:00 via Android 一般情况下,是没问题的 特殊情况是: 信任的 CA 干坏事签发证书用于 MITM |
 | 6 normanzb 2017-12-20 03:40:31 +08:00 via Android 感觉这事国内的情况不太一样。记得之前 12306 火车票网站没有安全证书,于是直接生产了个证书要求用户下载安装,结果还把根证书的下载给开放出来了,这个网站的用户几乎遍布全国了,想象一下坏人拿了这个根证书,生成劫持网站的证书,再做 mitm 攻击,多么可怕。 另外去年 startssl 网站办法的免费证书被 chrome 和 firefox 禁用了,理由是这家 startssl,被国内一家公司购买了,而国内这家公司曾经颁发过 github 证书未授权用户,当时有许多用户反映访问 github 时发现证书颁发机构变成国内公司了。这至少说明两个问题:一、国内这些证书办法机构很可能守不了规矩。二、Edge 和 safari 还没屏蔽 startssl。 |
 | 9 intheplants 2017-12-20 09:28:49 +08:00 via iPhone 当年 cnnic 还给某埃及公司颁发过 Gmail 的证书,被发现后就被所有主流浏览器封杀了 |
 | 10 WillTimeCondense 2017-12-20 11:07:07 +08:00 via Android @normanzb 根证书也开放下载? mdzz |
Select Language