使用 HTTPS 的网站也能被黑客监听到数据( 转自 zhihu)

2014-02-20 11:04:10 +08:00
 timepast
http://www.zhihu.com/question/22779469/answer/22603020?utm_campaign=rss&utm_medium=rss&utm_source=rss&utm_content=title

谁能更形象的解释下么
3071 次点击
所在节点    分享发现
7 条回复
oott123
2014-02-20 11:13:49 +08:00
他那是跳转到了http页…
cxe2v
2014-02-20 11:17:36 +08:00
命名就是中间人攻击,麻烦你好好看文章
ETiV
2014-02-20 11:22:33 +08:00
@oott123 而且还换了域名...
Shieffan
2014-02-20 11:30:11 +08:00
敢不敢来点有营养的
Tink
2014-02-20 11:31:12 +08:00
ejin
2014-02-20 11:45:11 +08:00
此案例的关键是

用户访问的网址是http的,http可以劫持,一般安全部分会在代码里跳转到https,但是因为http是可以劫持,于是修改掉https的链接,于是依然是http,懂了么?根本就无关https半毛钱关系。因为劫持的关系,根本就不会往https跳转

也就好像是,如果你去支付宝,你打入www.alipay.com访问的是http://www.alipay.com,这时候是可以劫持的。没被劫持的话为了安全会跳转去https

但是如果你直接输入https://www.alipay.com那么就无法被劫持。

换个说法就是,你的QQ密码很安全,QQ本身也很安全,但是你每次输入之前都把每个密码念出来,于是被盗了。在安全的环境里这样干不会有问题,但是在有坏人的情况下,是不安全的。

以上情形不包含3件事情。
1.你的电脑被导入了劫持方的证书颁发机构到信任列表里。
2.你电脑信任的证书颁发机构使坏,自己去生成对应域名的证书
3.证书颁发机构被黑,于是结果同第二条

养成一个好习惯,每次支付的时候,关键动作的时候,抬起头来看看地址栏是不是https开头的
est
2014-02-20 11:56:05 +08:00
要做到不被中间人,请用静态编译自带CA Cert的浏览器,并且把alipay paypal的 ssl fingerprint背下来。这样可保万年无忧 :)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/101038

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX