用别人的 ss、ssh、vpn 等服务访问 https 安全吗?

2014-12-13 23:31:23 +08:00
 benmaowang
会不会被中间人攻击?
18485 次点击
所在节点    问与答
12 条回复
nothingatall
2014-12-14 00:16:12 +08:00
可以,但不一定会去做。
jkjoke
2014-12-14 00:25:52 +08:00
有这个可能,根据墨菲定律,这件事情总会发生。
aliuwr
2014-12-14 00:31:38 +08:00
如果是通过 socks 方式访问代理,那么就是安全的。
HTTPS 加密解密是在浏览器与服务器中完成,经过中间节点的流量都是加密的。
例外情况是利用 HTTPS 协议中的漏洞,比如前段时间 SSL 3.0 就爆出了漏洞。但是这种漏洞是通用形的,和是否使用代理服务并没有直接关联。
hjc4869
2014-12-14 00:33:57 +08:00
如果是IKEv2这类用证书的VPN,并且提供者是自签的,要求你导入到Trusted Root Certificates,那么就是可以劫持你的HTTPS的。
除此之外,个人防范不当也可能导致HTTPS没用,这个就没啥多说的了。
xifangczy
2014-12-14 01:04:31 +08:00
以前就有一篇利用GoAgent的证书进行中间人攻击的例子.... 是的,艹艹哒 这样的方法都有。所以不管你是不是https 经过了别人的服务器就要承担一定的风险。只是技术难度和愿不愿意做而已。
lhbc
2014-12-14 01:26:05 +08:00
1、确保没有导入那种公开的证书到Trusted Root Certificates,比如@xifangczy 提到的GoAgent证书
2、出现证书错误必须中止访问
3、确保你访问的网站的域名是正确的,而且是https
比如你访问 http://www.alipay.com ,这个域名是302到 https 的。但中间可能被劫持,没有返回302给你,劫持者使用反向代理获取你的信息;也可以修改302的信息,把你转到 https://www.alipay.com.xx.net/
4、有些网站安全性做的不够,没有给cookies加上 secure,你下次访问这个网站的http页面,cookies可以被盗取。所以对于https的网站,不要去访问http
5、SSLv3的漏洞,最近的TLSv1.2的漏洞,这可以在浏览器进行防护

如果做到上述5点,基本是不会有问题的
lhbc
2014-12-14 01:37:21 +08:00
@lhbc 补充两点:
1、对于来历不明的代理、VPN,最好不要用
要用就花钱买,必须有个稳定的网站,有公开的支付途径,这样对方对劫持攻击还是会比较谨慎
一个来历不明的帖子,一个来历不明的网站发的,能不用则不用

2、另外建议采用那些非全局的代理、VPN方式
大家都用这些代理、VPN主要是翻墙,银行、第三方支付不走这些代理、VPN,安全性略高
ZMOM1031
2014-12-14 02:09:50 +08:00
@jkjoke 根据墨菲定律 说了=没说
SharkIng
2014-12-14 06:14:37 +08:00
又译为墨菲定律、莫非定律,具體內容是「凡是可能出錯的事必定會出錯」,指的是任何一個事件,只要具有大於零的機率,就不能夠假設它不會發生。

在科學和演算法方面,它與英文所謂的「worst-case scenario(最劣情形)」同義,數學上用大O符號來表示。
http://zh.wikipedia.org/wiki/%E6%91%A9%E8%8F%B2%E5%AE%9A%E7%90%86
benmaowang
2014-12-14 07:50:32 +08:00
@lhbc 那怎么检查证书是否可信呢?我打开钥匙串,看到系统根证书里有200多项,CNNIC之类的都在,也不知道什么时候导进去的。
SakagamiJun
2014-12-14 11:14:28 +08:00
@xifangczy 您需要仔细的去看看那篇文章,了解下为什么会发生中间人攻击再进行安全性的讨论

我以为,对于普通用户,最大的不安全,是他们错误的使用习惯,设置

技术比用户安全不要太多。。你告诉别人银行卡密码,自己给别人转账,别赖银行系统不安全。


@benmaowang

在您电脑预装的证书,都是可信的,有无数的眼睛盯着监督,确保这套覆盖绝大多数电脑的证书系统的安全性

您可能需要怀疑的,是第三方,后来导入的证书,诸如,铁道部要求导入的。每个人电脑均不相同,请自行了解。

当然你可以以个人缘故不相信某个预装证书,如CNNIC,请自行设置不信任就好

ps:以上三个服务,https内的内容,对个人用户来说,都是能够保障安全的
如果您并非普通个人用户
那么只有一句话,没有绝对的安全,一切只是成本问题,不光指技术方面
还有比一切都更脆弱的,人类的关系和社会
不要在家里安装水表
lhbc
2014-12-14 18:48:59 +08:00
@benmaowang 可以手工检查
也有工具可以检查系统证书
另外:Firefox是使用自带的证书系统,不依赖操作系统

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/153741

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX