用梯子的时候,用户的 cookie 是不是完全暴露给梯子铺了?

2016-10-29 23:15:49 +08:00
 amb
不管中间怎么加密,梯子收到加密数据后,总得解密后才能发送到网站服务器吧,也就是梯子可以拿到明文的用户的网站请求包,也许拿不到 md5 解密的密码,但拿到 cookie ,效果也是一样的,已经可以直接用用户的 id 登录网站了,不知我说得对不对?另外,如果是用户用梯子访问 https 网站,比如邮箱之类的,梯子铺老板能盗用 cookie 登录不?
20181 次点击
所在节点    宽带症候群
68 条回复
BOYPT
2016-10-29 23:20:16 +08:00
1 ,是的
2 ,不能
0TSH60F7J2rVkg8t
2016-10-29 23:20:55 +08:00
http 可拿 cookie ,可直接用 cookie 登录你的账号。如果登录表单是明文 post 的,还能拿到你的账号和 /或密码。
https 正常情况下拿不到你的 cookie ,也得不到密码。非正常情况,如本机梯子安装了证书,可中间人劫持,或降级攻击,还是能拿到你的数据。
mingyun
2016-10-29 23:41:35 +08:00
卧槽,是不得开始改密码
20150517
2016-10-29 23:46:25 +08:00
我做了一个 shadowsocks 的改造版,可以读你 http 上的 cookies,并 log 在文件里.....哈哈
lisonfan
2016-10-29 23:47:55 +08:00
所以自己搭梯子,美国的服务器便宜的多的是,几十块人名币一年
xmh51
2016-10-29 23:48:20 +08:00
正常啊。 1.能 2.中间人攻击可拿到信息
MrFireAwayH
2016-10-29 23:50:36 +08:00
所以我只用自己的梯
txlty
2016-10-29 23:58:48 +08:00
这是常识吧?理解网络安全基本概念的人都应该知道的。
不怕慢可以加一层 tor ,梯子就什么都读不出来了。不过 tor 出口节点一样能抓到 http 的 cookie
amb
2016-10-30 00:08:08 +08:00
为什么子本地用 http 工具比如 Http Analyzer ,我能看到 https 的 cookie 呢?
murmur
2016-10-30 00:16:16 +08:00
cookies 一般是不校验地理位置的 一是国内 IP 乱 jb 分 二是考虑移动用户
但是好一点的系统在地理位置异常的时候 都会锁定账号或者出二次认证
@amb 你信任了你自己的证书 或者像 fiddler 这种插在某个地方搞事。。
MrFireAwayH
2016-10-30 00:29:41 +08:00
@murmur 话说我最近研究 fiddler 抓安卓 https 装了它的证书 可是还是会出现 "有安全问题 是否继续"类似的对话框 有什么好办法么?
murmur
2016-10-30 00:30:48 +08:00
@MrFireAwayH 直接访问你的代理 用浏览器 有一个链接可以下载证书 下载完信任了就好了
txlty
2016-10-30 00:33:13 +08:00
@amb 数据是在本机进行加密发出去的。本机的软件,设法去获取加密前的数据就 ok 了。
MrFireAwayH
2016-10-30 00:34:07 +08:00
@murmur 我造……我装了……
MrFireAwayH
2016-10-30 00:36:09 +08:00
@murmur 证书是自动装在安卓的 "用户" tab 里面的 并且标题是 DO Not Trust Fiddler CA 类似字样(我感觉这个名字是 fiddler 给我起的)
6IbA2bj5ip3tK49j
2016-10-30 01:39:33 +08:00
@MrFireAwayH 如果你是浏览器访问,可能是因为 fiddler 生成的假证书有效期太长了。
helloccav
2016-10-30 02:15:51 +08:00
@lisonfan 请允许我将问题升级一下:假如我买了月饼家的 VPS ,在上面架了一个梯子,马老板不知道我的 VPS 的 ROOT 密码,但他能控制整个月饼云系统,那么马老板可以拿到明文的用户的网站请求包吗?
yangff
2016-10-30 03:07:09 +08:00
@helloccav 技术上可以。
lightening
2016-10-30 03:16:42 +08:00
看网站实现。比如 Rails 的网站 cookie 都是 web 服务器端加密的,用户自己也看不见、不能改。
bearqq
2016-10-30 08:32:46 +08:00
除了 ss ,你们玩免流的,同样

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/316500

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX