http2.0 是否能缓解运营商劫持?

2018-02-11 10:07:18 +08:00
 mengdisheng

因为个人博客用了腾讯云 cdn https,里面好像能直接开 http2.0 所以有这个疑问。

8209 次点击
所在节点    DNS
71 条回复
gamexg
2018-02-11 10:09:41 +08:00
已知的浏览器只有 https 支持 http2,所以是可以防劫持。
lniwn
2018-02-11 10:13:51 +08:00
目前的浏览器实现,HTTP2.0 都是密文的,所以可以解决运营商内容劫持的问题。
mengzhuo
2018-02-11 10:27:33 +08:00
https 就防篡改(也就是劫持)

1、2 楼也请看看基础书籍
rrfeng
2018-02-11 10:28:00 +08:00
明文 http2 一定程度上可以,因为我相信运营商不会开发这个技术的,为什么呢?因为 http2 明文只是 RFC 支持,实际上浏览器是必须 http2 + tls 的。

tls ( https )可以防劫持。
mengdisheng
2018-02-11 10:31:50 +08:00
@rrfeng 意思就是并不需要 http2 tls 就完全可以防劫持了是吧。。。好像 http2 没普及
msg7086
2018-02-11 10:35:45 +08:00
HTTP 2 在 HTTPS 上是可以防止劫持的。没有开 HTTP 2 的 HTTPS 也可以防止劫持。

@mengzhuo 他们也并没有说错,也不需要看基础书籍。
rrfeng
2018-02-11 10:40:01 +08:00
@mengdisheng
除非你自己实现,现在并没有支持不带 tls 的 http2 客户端可以用。
yingfengi
2018-02-11 10:42:12 +08:00
私钥不泄露就没法劫持
yingfengi
2018-02-11 10:42:36 +08:00
不过可以反过来做 ssl 卸载
mengzhuo
2018-02-11 10:44:20 +08:00
@msg7086 #6

https 里的 s 是 TLS (传输层安全 4 层的),HTTP 不管第几版都是应用层( 7 层)的。

只是现在浏览器的 http2 实现要求用 TLS 而已,但是这里的概念不能搞混,不然真·笑掉大牙。
msg7086
2018-02-11 10:47:44 +08:00
@mengzhuo
一楼 「已知的浏览器只有 https 支持 http2 」
二楼 「目前的浏览器实现,HTTP2.0 都是密文的」

说的和你最后一段不是一样?
anheiyouxia
2018-02-11 10:47:58 +08:00
@rrfeng
@yingfengi
看来你们还没遇到过替换证书的劫持,广东佛山电信会劫持 tls,强硬替换证书插入 js 劫持剪切板(目前测试仅限 Android )
b821025551b
2018-02-11 10:49:45 +08:00
@mengzhuo #10 :doge:
dangyuluo
2018-02-11 10:50:30 +08:00
@mengzhuo 人家都说了目前浏览器支持的 http2 是基于 https 的,所以可以防止劫持。哪部分有问题需要看书回炉?
Famio
2018-02-11 10:52:10 +08:00
@anheiyouxia 还有替换证书这操作?不是中间人攻击吗? HSTS 也能劫持?
rosu
2018-02-11 10:54:07 +08:00
@anheiyouxia 替换证书不是得你先信任他的第三方证书吗?不然这波操作如何进行
mengdisheng
2018-02-11 10:54:24 +08:00
@anheiyouxia 我擦 真的假的 替换证书是什么操作。。感觉理论上不好实现啊
gamexg
2018-02-11 10:55:56 +08:00
@mengzhuo #3 看起来我不需要说什么了...


@anheiyouxia #12 浏览器直接报证书错误?这么搞太明显了吧?或者电信搞定了根证书机构?
mengzhuo
2018-02-11 10:56:34 +08:00
@msg7086 #11

1、2 楼逻辑不通看着着急

1. 应该是“目前已知的支持 http2 的浏览器只能用 https ”
2. http2 只是应用协议,没有加密的说法( HPACK 也算的话算我输……),所以不能说 HTTP2.0 都是密文
mengzhuo
2018-02-11 11:02:04 +08:00
@anheiyouxia #12 这是国产手机的 CA 库被黑了吧,如果是哪个 CA 敢这么发证书,早八年上黑名单了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/430121

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX