有没有什么软件是防止 SSL 中间人攻击的？

比如本地搞个软件，通过指定接口获取将要访问网站的SSL证书存到本地（只有第一次访问或本地证书过期后需要）。

然后这样等于证书是本地内置了，然后再SSL Pinning是不是可以杜绝SSL中间人攻击了？

现在有类似的软件吗？

cevincheung

2014-04-03 15:09:22 +08:00

@JoyNeop
hi， Jn，你也混v2了？

---

酱紫的。浏览器（除了ff/chrome）给的提示会有一个继续按钮。
小白用户不知道什么叫“证书风险”
小白用户不知道什么叫“SSL”
小白用户不知道什么叫“中间人欺骗”

小白用户只知道，可以点下一步，然后可以继续支付（相对于支付网站、网银）、可以继续处理关键业务。

小白用户懂得识别提示，那钓鱼网站可以不复存在了。

xierch

2014-04-03 21:27:16 +08:00

@cevincheung 好，现在再加一套系统检测中间人攻击，这套系统提供“继续访问”按钮么...？

cevincheung

2014-04-06 21:18:40 +08:00

@xierch 就是不提供。证书不匹配就拦截访问。强制的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/106941

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.