直到现在仍有不少人认为,访问没隐私没价值的网页,不是 HTTPS 问题不大。。。

2018-09-26 11:32:18 +08:00
 mytry

直到现在,居然仍有不少人(甚至包括做 Web 开发以及安全的),以为只有涉及隐私的网页用 HTTPS 才有意义。随便浏览一个从搜索引擎里点出来的 HTTP 垃圾站对自己并没什么影响。。。

殊不知,只要允许了三方 Cookie (各大浏览器默认允许),访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露。。。(原理很简单,大家可以想想为什么)

而且国内大部分网站隐私 Cookie 都没加 secure,也极少有网站同时开启 HSTS+includeSubDomains,导致用户 cookie 大片大片的泄露。

真正了解这个风险并禁用三方 Cookie 的寥寥无几,最悲催的是不少国内大网站都依赖这个,禁用后正常功能都会受影响。。。

15522 次点击
所在节点    程序员
111 条回复
xenme
2018-09-26 13:01:51 +08:00
@choury sni 你 domain 泄漏了啊。

想表达的只是中间人并没有那么容易,http 并没有那么不安全。有能力劫持 http 的,https 也并不绝对安全。

所以楼主是危言耸听。
choury
2018-09-26 13:06:06 +08:00
@xenme 这个泄露了有什么危害吗?又拿不到我密码,也拿不到我的交易数据,照你这么说运营商还知道你要访问的 ip 呢,这个也算泄露?
xenme
2018-09-26 13:15:57 +08:00
@choury 去看看楼主的说的是啥
通过垃圾 http 去抓其他安全站点的 cookie 等等。

不抬杠,http 劫持想干啥干啥,但楼主说的,危言耸听而已。
find456789
2018-09-26 13:18:35 +08:00
@t6attack

还有,如果你的网站引入了第三方 JS 文件( JS 库 /统计系统),即使在 https 下,服务提供方 也可以抓取你网站用户非 httponly 的 cookies,所以这是必须要加 httponly 的问题。不是必须使用 https 的问题

----------

你好我想请教以下,我引入了 cdn 静态文件, 如 bootcdn、cdnjs, 是不是理论上,如果我没有把 cookie 设置成 httponly,不管我网站是不是 https 他们都可以获取我的 cookie ?
wormcy
2018-09-26 13:33:41 +08:00
上网不涉密 涉密不上网
mytry
2018-09-26 13:40:08 +08:00
@imdong @iwtbauh 8 楼 11 楼正解。

这个问题很多年前就有提到了,比如:
[http://fex.baidu.com/blog/2014/04/traffic-hijack-2/]( http://fex.baidu.com/blog/2014/04/traffic-hijack-2/)
[https://www.cnblogs.com/index-html/p/mitm-cookie-crack.html]( http://fex.baidu.com/blog/2014/04/traffic-hijack-2/)
等等。

事实上浏览器禁用 JS 都没关系,中间人往 HTML 里插几百个各大网站 <img> 外链就可以。之前登陆过的 cookie 都夹在 HTTP 请求头里往外送。
Yuicon
2018-09-26 13:41:16 +08:00
建议局域网
tailf
2018-09-26 13:59:15 +08:00
cookie 是不能跨域读取的
aqtata
2018-09-26 14:09:11 +08:00
非交互式网站根本没必要用 https,因为这类网站的 cookie 里根本没有任何有价值的信息。这一两年来的去 http 热潮是谷歌带起来的吧,背后的商业目的更明显。
fullpowers
2018-09-26 14:24:58 +08:00
建议换头像
liaoyaoheng
2018-09-26 14:43:08 +08:00
无需登录的网页,不需要 https。

https 的开销更大。
DOLLOR
2018-09-26 14:51:32 +08:00
自以为不用登录、没有交互就无需 HTTPS,看来很喜欢被 ISP 插入广告,把网站贴满牛皮癣的样子吧。要是竞争对手跟 ISP 合作,把你们的图片换成其他的,也乐意吧。😅
pynix
2018-09-26 14:53:55 +08:00
@liaoyaoheng 运营商大喜。。
qiuqiuer
2018-09-26 14:56:10 +08:00
用简体中文的浏览器还提隐私??
easylee
2018-09-26 15:00:47 +08:00
我自己最近做的一个站,全站 https,其中引用了百度地图的 api,可是它为 http,不兼容很麻烦……
rabbbit
2018-09-26 15:02:07 +08:00
snw
2018-09-26 15:16:36 +08:00
@imdong
看起来还是 cookie 不设 secure 的锅
mytry
2018-09-26 15:17:33 +08:00
准备给 chrome 或者其他浏览器提一个建议,访问 HTTP 页面默认禁用三方 Cookie,这样就解决这个问题了。
zarte
2018-09-26 15:22:08 +08:00
文不对题,骗点击。block
t6attack
2018-09-26 15:25:27 +08:00
又看了一遍帖子,有些讨论的不是一个问题。我来总结一下楼主想说的这个:
我的网站是 http 的,然后<img src="一张 sina.cn 的图片"。访客浏览器向 sina.cn 发出请求,其中包含 sina.cn 的 cookies。这个 cookies,我当然是拿不到的。运营商可以拿到。
我的网站页面到达用户浏览器之前,运营商可以篡改页面的数据,让访客浏览器接到<img src="163.com/sohu.com/qq.com"这样的代码,然后访客浏览器就会对这些地址发出请求,其中包含对应网站的 cookies。运营商可以拿到这些 cookies。
这样的过程,可以认为是运营商,对用户浏览器的一种攻击行为。"主动提取"用户浏览器中存储的 cookies。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/492685

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX