关于“蹭免费 wifi 有没有风险”的争论,@奥卡姆剃刀 和@yuange1975 谁说的更有道理一些?

2014-10-03 13:46:31 +08:00
 whilgeek
今天看到他们吵了起来,相关微博: http://weibo.com/1820201245/BpOlsr0NY
8705 次点击
所在节点    问与答
76 条回复
mornlight
2014-10-03 16:48:08 +08:00
@blacktulip 目前这事的状态是,掺和进了不少国内安全圈的高手表示呵呵,顺带王思聪也插了一脚,刀刀关闭评论了。
看起来他也像是个一根筋的人。
jasontse
2014-10-03 17:07:40 +08:00
首先双方的终端应该是靠谱无问题的,然后端到端的 SSL 必须是强健的,才谈得上安全。这样的前提下中间的链路确实没有那么重要。JS 缓存投毒也只适用于加载了不安全的 HTTP 资源的前提下。
GhostFlying
2014-10-03 17:18:55 +08:00
感觉问题还是在于一般用户,包括很大一部分程序员,并不会一直检查确认https连接的证书(这个相对好点,一般假证书浏览器会有警告),页面内不加密资源以及记得登录页面要有SSL加密

不过说实话一直记得检查这种东西是蛮烦的,偶尔忘记也是不奇怪的
Monad
2014-10-03 17:28:54 +08:00
就想知道挂着vpn安全不……
cjjia
2014-10-03 17:38:16 +08:00
我只知道我用的网银需要手机验证码,知道密码也没用。
virusdefender
2014-10-03 17:47:08 +08:00
他也敢去挑战袁哥。。
hljjhb
2014-10-03 17:52:50 +08:00
@gamexg HTTP之所以能实现转发,得益于头部有个host字段;而非HTTP协议,甚至包括HTTPS,我们只能收到一堆二进制数据,然后就不知道的该交给谁了。

哪里谈到https不安全了?
Cwind
2014-10-03 17:57:50 +08:00
原来争论的焦点是能否通过wifi获取银行卡密码
1314258
2014-10-03 18:06:17 +08:00
我觉得袁哥不一定需要在https入手你知道嘛?凭借他对windows的熟悉,随时溢出你的ie,装个木马还不是容易的很?袁哥都上亿身价的人我会乱说?
LMkillme
2014-10-03 18:10:11 +08:00
yuange可是一哥啊。。。在网安话题上,不信yuange,信奥傻那个门外汉么?
loading
2014-10-03 18:46:46 +08:00
吊个QQ密码一点问题都没有!


多傻的陷阱都有人中!(这里的人在网络常识上比普罗大众高不少的,其实我们比很多人都聪明!)
crab
2014-10-03 19:03:14 +08:00
@mornlight 像QQ 淘宝的密码参数都本地RSA后再POST,这样也能抓到明文吗。
loading
2014-10-03 19:08:30 +08:00
@crab 做个钓鱼站就可以了。只要有一个人上 www.qq.com 就成功了,因为那是我的钓鱼站!!! 因为连 dns 也是我的。
Draplater
2014-10-03 19:10:57 +08:00
@mornlight https加密确实是牢不可破的,只是攻击者有可能会想办法不让你建立https
mornlight
2014-10-03 19:22:49 +08:00
@crab 这个我不敢说可不可以,我也不擅长,你可以把思路放宽一点,不要限制在登录正常的网站然后POST数据出去这个环节上,单论https加密当然是不能破的。但可以肯定的是,如果真的有心要针对你个人套出密码,在局域网环境内有的是办法,手机和PC都一样。
mornlight
2014-10-03 19:23:43 +08:00
@Draplater 这次的讨论话题不明确,其实焦点不应该放在https本身上,而是这个网络环境是极其危险的,入侵和欺骗的方法太多。
mind3x
2014-10-03 20:22:57 +08:00
@Draplater 听说过中间人攻击没...
janxin
2014-10-03 20:23:15 +08:00
可能入侵的方式很多,针对手机,中间人完全可以胜任。

但是把问题聚焦一下,只是单纯从通讯链路上搞定支付宝,这个是不可能的,https 2048位证书和验证能够保证支付宝的通讯安全。

但是手机本身的安全怎么办?
zzNucker
2014-10-03 20:39:03 +08:00
门外汉和搞渗透的争,你说信谁的。
ChiChou
2014-10-03 21:30:23 +08:00
@Draplater 的确。奥的观点应该是从 SSL 协议本身在密码学上的安全性来说,但这是建立在加密信道成功建立的前提下。在这个场景里,攻击者有太多办法破坏加密信道的创建了。奥太自信了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/136893

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX