部分 HTTPS 无任何意义

2014-06-16 09:44:28 +08:00
 heiher
就像 WebQQ 登录认证用 HTTPS,其它使用 HTTP (包含JS),只要劫持篡改了其中一个关键的 JS,就可以获取到页面上用户输入的QQ号和密码了(甚至还能知道用户先输入号码还是密码),之后至于向哪发送完全随意。
6584 次点击
所在节点    信息安全
28 条回复
jsonline
2014-06-16 09:50:24 +08:00
是哒,所谓半吊子说的就是这种情况。
dong3580
2014-06-16 09:53:13 +08:00
我觉得这个问题类似于,你把你当前的浏览器登录的某个论坛cookie中的userid改为别人的,然后你刷新看看是不是进入了别人的账户了。
treo
2014-06-16 10:13:55 +08:00
类似的,登陆时JS加密用户密码再发送也没什么意义
treo
2014-06-16 10:16:04 +08:00
Javascript Cryptography Considered Harmful
http://matasano.com/articles/javascript-cryptography/
lichao
2014-06-16 10:38:57 +08:00
类似的,页面本身是走 HTTP,登录时 Ajax(JSONP) 走 HTTPS 也是无意义的
est
2014-06-16 10:43:33 +08:00
> 只要劫持篡改了其中一个关键的 JS

如果都可以劫持了,自己搭个https服务器不是照样可以插入js?
lichao
2014-06-16 10:47:22 +08:00
@est 你自己搭的,浏览器会报警的报么!
est
2014-06-16 10:49:01 +08:00
@lichao 连CA一锅端了呢?
lichao
2014-06-16 10:51:38 +08:00
@est 那可能性。。。
dndx
2014-06-16 10:55:28 +08:00
@est 他的意思是说如果资源不走 SSL,中间人就可以直接替换资源,根本没 SSL 的事。
est
2014-06-16 11:11:39 +08:00
@dndx 这个说的是对的。混杂https,等于没有https。攻击门槛比较低。

不过,如果能中间人,怎么都不安全啊。side channel 太多。除非你是个hsts pin狂。
dndx
2014-06-16 11:15:15 +08:00
@est SSL 重要的功能之一就是身份认证,中间人不替换证书啥也看不懂,替换证书了浏览器会直接报警。

如果强制 SSL,中间人最多也就是阻断通讯,但是还是无法获得你的信息,总比被嗅探了要好。
est
2014-06-16 11:39:44 +08:00
@dndx 理论是这样,大家都知道。但是你去看n年前sohu mail那个https中间人。。。。@奶罩 搞的。

如果要搞你,肯定是搞你的短板。ssl 长板再长无法弥补短板。PKI 的短板多了去了。。。。
dndx
2014-06-16 11:43:20 +08:00
@est Sohu 这种攻击想成功,前提条件太多,在大多数情况下不具可操作性。

不管怎么说,在现在这种互联网环境下,SSL 还是最有效的防御方式。
phyng
2014-06-16 12:25:09 +08:00
@dndx 东南大学?
heiher
2014-06-16 13:03:54 +08:00
@est 没有证书无法做有效的中间人攻击。
sdysj
2014-06-16 13:07:55 +08:00
很明显啊,只有天朝才那么多半https网站,原因嘛,public security啊哈哈
iannil
2014-06-16 14:18:42 +08:00
58的登录就伪https,使用js加密用户名密码的方式登录,无实际意义。
tabris17
2014-06-16 16:42:44 +08:00
增加难度而已
20150517
2014-06-16 19:02:51 +08:00
等一下,你js是http但放在https,连ie都会报警的啊,说有些内容没有加密什么,你自己确认是你自己问题,你可以选择不登录

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/117714

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX