在保证浏览的网页使用了 https 的情况下,我是否就不需要去担心钓鱼 wifi 的抓包以及公共 wifi 的中间人攻击了?

2017-12-19 21:57:07 +08:00
 Maxwell272

emm,qq 微信这一类就暂且不去管,咱只说网站。 现在如果连上钓鱼 wifi,或者公众场合的 wifi 被人 MITM 攻击的话,还有可能被抓到帐号密码或者 cookie 吗? 一些使用 https 的网站如果没有上 HSTS,还是有可能会被 SSLstrip 的吧? 那如果是上了 HSTS,是否就可以说任何的抓包分析都无法攻破了呢? 这个问题一直想问..小白问题,求大佬轻喷

3557 次点击
所在节点    互联网
10 条回复
Maxwell272
2017-12-19 22:00:52 +08:00
https://zhuanlan.zhihu.com/p/32153145
刚问完,就发现了一篇文章...也就是说到目前为止,除了这种办法,其他的手段都对 HSTS 束手无策吗?
shoaly
2017-12-19 22:04:03 +08:00
理论上 你还得熟悉 你要访问的网站的证书是谁颁发的...
因为中间人攻击的话, 他是可以伪造证书的, 一方面你的浏览器能够识别大多数伪造的证书, 但是不能 100%
Maxwell272
2017-12-19 22:13:06 +08:00
@shoaly 谢谢。换言之,如果是一个个人攻击者通过伪造证书的方式来进行中间人攻击,在现今的浏览器面前,几乎都是无效的吧?
just1
2017-12-19 22:33:38 +08:00
如果攻击者有能力获得信任 ca 颁发的证书是可以的。但是成本太高了。不过我想,cia 可能有办法(我随便说说的)。
miyuki
2017-12-20 01:12:17 +08:00
一般情况下,是没问题的

特殊情况是: 信任的 CA 干坏事签发证书用于 MITM
normanzb
2017-12-20 03:40:31 +08:00
感觉这事国内的情况不太一样。记得之前 12306 火车票网站没有安全证书,于是直接生产了个证书要求用户下载安装,结果还把根证书的下载给开放出来了,这个网站的用户几乎遍布全国了,想象一下坏人拿了这个根证书,生成劫持网站的证书,再做 mitm 攻击,多么可怕。

另外去年 startssl 网站办法的免费证书被 chrome 和 firefox 禁用了,理由是这家 startssl,被国内一家公司购买了,而国内这家公司曾经颁发过 github 证书未授权用户,当时有许多用户反映访问 github 时发现证书颁发机构变成国内公司了。这至少说明两个问题:一、国内这些证书办法机构很可能守不了规矩。二、Edge 和 safari 还没屏蔽 startssl。
vefawn1
2017-12-20 05:12:37 +08:00
@normanzb 为什么几乎所有中国证书颁发公司都那么流氓?
WuwuGin
2017-12-20 05:17:13 +08:00
@vefawn1 能把根域名服务器给投毒的地方还有什么不能做出来。
intheplants
2017-12-20 09:28:49 +08:00
当年 cnnic 还给某埃及公司颁发过 Gmail 的证书,被发现后就被所有主流浏览器封杀了
WillTimeCondense
2017-12-20 11:07:07 +08:00
@normanzb 根证书也开放下载? mdzz

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/416114

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX