我的 boss

2016-12-29 14:44:07 +08:00
 imbahom

我的 boss 和我说,一个 https 请求,别人抓包可以获取到明文的(假设数据自己没有加密)请求参数,和 http 没啥两样。 我惊呆了,我反复和他确认了我们彼此表达的意思,比如这里说的“别人"是不是别人,排除了其他黑科技的情况。他又习惯性的不耐烦了,说我需要补充一下基础知识。

我想我一定是太耿直了。 好心烦,于是和朋友聊了此事,朋友表示:你们领导不信任老罗捐赠的开源项目。

3504 次点击
所在节点    职场话题
29 条回复
bzzhou
2016-12-29 14:50:04 +08:00
如果场景是,你抓的 HTTPS 流量的设备你可以接触到,那么是可以抓到 HTTPS 的详细内容的。
cevincheung
2016-12-29 14:52:47 +08:00
如果抓到的是加密之前的数据,那不是 HTTPS 数据。
dsphper
2016-12-29 14:56:39 +08:00
我想你 BOSS 说的是 HTTPS 下 GET 方式传输明文。
linboki
2016-12-29 14:57:55 +08:00
我向你索取公钥,把“你的 boss 是不懂非对称加密的逗逼”加密后递交给你,你的 boss 站在一旁,既知道你的公钥,也知道我的密文,但一脸蒙逼
yivanus
2016-12-29 14:58:00 +08:00
自己数据加密后再传输。。这样别人再抓包也得想办法解。
vultr
2016-12-29 15:01:34 +08:00
记得很久以前有人对我说过这么一句话:这个人没什么本事,就让他当领导吧。
greatonce
2016-12-29 15:02:24 +08:00
https 是加密从发出到接收中间这个过程的,如果你电脑上装了木马获取了明文数据那不是一回事

发送====加密(====tcp 传输====)接收====解密

加密的是 tcp 传输,不被你的 ISP 截获插入广告或修改数据,这个过程是用 TLS 保护的整个 TCP 传输过程
imbahom
2016-12-29 15:34:33 +08:00
@linboki 玩的 6
damean
2016-12-29 16:36:10 +08:00
@dsphper 不好意思, HTTPS 下 GET 方式传输的数据也是被加密的。
damean
2016-12-29 16:41:02 +08:00
https 下的包是加密的,但是对于想了解你的参数结构的人来说, https 并不会造成太大的阻碍。但是如果把攻击扩展到可以批量攻击的程度,目前还做不到,因为攻击自己容易,攻击别人前提太多了,首先要骗人家安装证书。
hahaDashen
2016-12-30 08:11:11 +08:00
那么你应该给你的 boss 一个耿直的微笑 然后问他还有啥方法
eloah
2016-12-30 12:00:01 +08:00
那你就说,猴,我们的 iOS 端都不做了,辣鸡水果
Doge
imbahom
2016-12-30 18:56:08 +08:00
@hahaDashen 我就是耿直的微笑了,然后估计笑得有点儿嘲讽了。。。
imbahom
2016-12-30 18:57:53 +08:00
@eloah boss 还不看新闻,今天才发现水果政策变了, ats 延期。默默的看他折腾了好几天 https
hahaDashen
2016-12-30 19:37:07 +08:00
@imbahom 挑事的微笑 : )
klesh
2016-12-30 21:28:59 +08:00
@dsphper https 之后无论是 get 还是 post / put / delete 什么鬼的都是加密的。
@bzzhou 所说的根本不成立,因为 @linboki 说的是正确的。

楼主把 https://support.google.com/webmasters/answer/6073543?hl=en 把这个发给你家 boss !
linbiaye
2017-01-01 14:15:33 +08:00
希望你的 boss 不是管技术的。 https/tls 这一套本身就是为了防中间人的。
bzzhou
2017-01-03 12:25:53 +08:00
@klesh http://security.stackexchange.com/questions/8145/does-https-prevent-man-in-the-middle-attacks-by-proxy-server

用 google 随便搜 https middle man attack 一大堆结果了

而且我备注了:可以接触到设备的前提
bzzhou
2017-01-03 12:26:57 +08:00
@klesh 建议还是好好去看书, RFC 2616 这些看完,还有那本什么 HTTP 大头书看完再下结论
klesh
2017-01-03 16:36:36 +08:00
@bzzhou 感谢您的建议。我仔细地看了你发的那个链接。里面清楚地提示到, Man in the middle attack 成立是 administrator of your computer cooperates 。

A local certification authority is setup and the administrator tells your browser that this CA is trustworthy. The proxy server uses this CA to sign his forged certificates.

既然攻击者都可以在你的电脑上安装根证书了,那还有什么不可以干的呢? https 作用是在于信息在你的电脑端出来到服务器端进入这中间的链路,所有中间的设备和嗅探器都无法窃取和篡改你的信息。因此可达到防止运营商劫持的目的。

如果你说的是对的,那淘宝、腾讯等全站 https 意义何在? http / https 一样都是要经过运营的设备的。

who the fuck you are to tell me what to read ?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/331003

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX