@
bzzhou 楼主讲的是别人抓包,在我理解中这应该是指路网中第三台机器,或者是像路由这样的中间链路节点。而我只能承认你讲的设备我不知道你指的是个什么玩意。如果你说的设备指的是终端电脑,并且该电脑已经安装了恶意的程序或者证书,这还能算是“中间人攻击”吗?
根据
https://en.wikipedia.org/wiki/Man-in-the-middle_attack 这上面的纪载,上面清楚明白地说明了避免中间人几种方法:
Public key infrastructures: Transport Layer Security is an example of implementing public key infrastructure over Transmission Control Protocol. This is used to prevent Man-in-the-middle attack over a secured HTTP connection on internet. Client and server exchange PKI certificates issued and verified by a common certificate authority.
这个机制也就是 @
linboki 讲的 https 的原理,如果你知道公私钥加密原理的话,应该就能明白他讲的是对的。通篇文章并没有提到终端用户电脑上需要被安装恶意软件或证书这种事情是形成“中间人攻击”的特征条件。我的点是,既然终端电脑都已经可以接触了,直接爱怎么搞都怎么搞,还费那事搞中间人干嘛?那不是 https 的锅了。 secure tunnel 是通道的安全,两边终端不关它事了。
强调一下,我并没有忽略你的“前提条件”,而是我认为你讲的根本是错的!无论你的“设备”指的是中间节点还是用户电脑,都不成立。
你说的 1 , 2 , 3 都是建立在“不正确地使用 https ” 这个前提下,并不是 https 的锅。你可以坚持你的观点但我不想再跟你讨论什么。
你不爽是因为我说你是错的。我不爽是因为我觉得你太自以为了:
第一,你自己读过 RFC 2616 和 HTTP 大头书 了吗?
第二,你如果读过了觉得这里面哪里可以用来证明我是错的或者你是对的大可以 quote 出来。大家辨论就是,而不是很中二地说,我建议你回去好好看书。
第三,我不认为弄明白 https 和 man in middle atack 这两个问题需去读你所谓的资料。
第四,这些协议,格式文档什么是最乏味最冗长的东西,建议我去读这两份资料,呵呵,你是要准备养我下半辈子吗?或者反过来我叫你去读 TCP/IP 协议,读完再回来跟我辨论,这样你觉得可以接受吗?
第五,我欢迎你说我是错的,但你要讲得有道理,有根据!