直到现在仍有不少人认为,访问没隐私没价值的网页,不是 HTTPS 问题不大。。。

2018-09-26 11:32:18 +08:00
 mytry

直到现在,居然仍有不少人(甚至包括做 Web 开发以及安全的),以为只有涉及隐私的网页用 HTTPS 才有意义。随便浏览一个从搜索引擎里点出来的 HTTP 垃圾站对自己并没什么影响。。。

殊不知,只要允许了三方 Cookie (各大浏览器默认允许),访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露。。。(原理很简单,大家可以想想为什么)

而且国内大部分网站隐私 Cookie 都没加 secure,也极少有网站同时开启 HSTS+includeSubDomains,导致用户 cookie 大片大片的泄露。

真正了解这个风险并禁用三方 Cookie 的寥寥无几,最悲催的是不少国内大网站都依赖这个,禁用后正常功能都会受影响。。。

15522 次点击
所在节点    程序员
111 条回复
fcten
2018-09-26 15:38:09 +08:00
运营商劫持的问题一直非常严重。很多网站的账号被反复盗用,应该很多人都遇到过。
beny2mor
2018-09-26 15:47:20 +08:00
@t6attack 不对吧,应该不是这个意思。。。 不然“阻止第三方网站读取 Cookie ”也没有效果了..
CtrlSpace
2018-09-26 15:53:28 +08:00
讲这么多,不都是因为运营商太黑心。。。
mytry
2018-09-26 16:00:04 +08:00
@beny2mor

60L @t6attack 讲的完全正确,就是这个意思。阻止三方 Cookie 就能防御这种攻击。
xiangyuecn
2018-09-26 16:00:42 +08:00
@t6attack #60 非也~

-----

你们要的 [简单原理]
根本原因在于 https://exp.com 设置的未带 Secure 选项的 cookie,http://exp.com 发起的请求(划重点,是发请求时,发请求时。。跟响应无关)也会带上此 cookie,从而可以达到中间人"主动提取"用户浏览器中存储的 cookies。

------

[威胁项]
懂了吗?就算上了 https,确实还是要注意一下的地方。


@mytry 针对楼主的 “访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露” 虽然有点危言耸听, [不过细思极恐] 。


@iwtbauh #11 除了链接非常有用,其他的都是瞎几把扯淡。a 站的 cookie 泄露,跟 b 站是不是 https 没有关系不大,也跟 b 站是 http 还是 https 引用的 a 站资源关系不大。
zh826256645
2018-09-26 16:06:35 +08:00
我说下我的理解
首先假设使用 http 协议的 b.com 引用 a.com 的资源, 并不是说 b.com 能获取 a.com 的 cookies
那么, 危险在哪呢?
如果 a.com 即支持 http, 也支持 https 访问, 且 cookies 比较重要并未做任何防护(例如设置 secure 属性)的情况下, 当 b.com 访问 a.com 的资源, 使用的是 http://a.com/... 时, a.com 的 cookies 将被毫无保护的暴露出来, 这时, 在同个局域网下或被某些特殊的手段劫持到你的请求, 你的 cookies 就会被泄漏
lightening
2018-09-26 16:07:59 +08:00
在我的理解里,没隐私没价值的网页 = Cookie 泄露了没关系

不过,为了防止网页被插入乱七八糟的广告,我还是会装 https。
pisser
2018-09-26 16:08:19 +08:00
理解错了吧,这种选项就算开启访问 a.com 里面有 b.com 的 cookie,b.com 也只能读写 b.com 的 cookie,b.com 是读取不了 a.com 的 cookie 的。这种一般都是些行为跟踪的 cookie,不存在泄露 a.com 的安全问题。
beny2mor
2018-09-26 16:17:17 +08:00
@mytry 查了点资料,大概明白了。
手机浏览器没有阻止第三方 cookie 这种功能吧?或者是默认开启
iwtbauh
2018-09-26 16:23:44 +08:00
@xiangyuecn

我说的重点是“ b .c o m 没有用 https 引用 a.c o m 的资源”,您这断章取义的本事也是很厉害了。
iwtbauh
2018-09-26 16:25:13 +08:00
@iwtbauh

之所以提 b 不是 https 是因为如果 b 是 https 浏览器会至少有提示,有的浏览器会直接阻止混合内容。
xiangyuecn
2018-09-26 16:31:25 +08:00
@iwtbauh 哈哈,刚才没有细看,现在细看了一下,你说的是对的。我收回#65 @ 你 的的第二句。其实我是对你说#11 中“再访问不是 https 的 b.com ”这一句有开始有蛮大意见,https 的 b.com 也是同样的效果。

#70 “ b .c o m 没有用 https 引用 a.c o m 的资源”也同样有意见。是这样咩
yc8332
2018-09-26 16:34:05 +08:00
半桶水的大佬厉害了。
xiangyuecn
2018-09-26 16:53:31 +08:00
@iwtbauh #71 嗯,遇到过阻止混合内容的情况,以前有次把 http 切换成 https 的时候,功能正常,但图片都没法显示,上线 10 分钟立马回滚,后面发布新版本里设置浏览器允许混合内容后才恢复 https (仅 Android app )。

----

刚刚把 Secure 选项加到了 SetCookie 方法里

代码写的丑,@yc8332 被你言中,满意否~
snw
2018-09-26 17:18:57 +08:00
@mytry
我觉得这问题应该由 cookie 不设 secure flag 的网站自行解决,是这些网站自己的锅。
默认禁用第三方 cookie 的话,有些网站使用多个域名传输不同类型数据也会受影响。
imn1
2018-09-26 17:29:59 +08:00
隐私的问题,理论上现有的机制足够达到安全,但现实中被获取、泄漏却变成常态,这才是问题

一个机制,尤其是涉及多方的,只有各方守规矩,才能做到最初预想效果
运营商劫持,本不应是一个担心项,应该不会发生的,但这个帖子每个楼层,哪个能大声说自己从来没被劫持过,这是很糟糕的,已经到了每个人
一个浏览器扩展,本来代码是开放的,应该也不能作恶,但现实就是爆雷不断
公共 wifi,本也应该是善意的,但现实中的宣传语,全部都是叫大家不要用,为何

一个合约,没有违约部分,这个合同也是废纸一张
如果一个人因为自己的隐私被窥探,报警,警察还找不出受理的法律条文,因为数量不够、没有「卖」……

现在倒不是每个人是运营商,是每个人都是「安全专家」,不为虚名,而是真心想成为真实的专家保护自己
现在最没权限的乙方,丙方、丁方……权限都比乙方高,反正乙方不值钱,人家丙方丁方还给钱呢
marcong95
2018-09-26 17:31:01 +08:00
我在医院厕所蹲坑开了一下自己一个还没做好的 http 网站就瞬间意识到了 https 的重要性了。。。整个页面都是特么的广告,自己的内容不超过 1/4。

至于你说的第三方 Cookie,我还真的想得不是很通有什么大问题
mytry
2018-09-26 17:40:26 +08:00
@snw 确实是网站自己的锅~ 比如微博所有 cookie 都没加 secure,前些时候貌似泄露了几千万条。。。
sampeng
2018-09-26 18:01:13 +08:00
归根到底是网站本身对安全性的考量是如何的。

安全意思强的团队,自然会加 Secure+https。安全意识弱的就不知道这两个东西。。。而且 https 本身会增加成本。。。

这个吐槽没什么意义。1.你没办法控制流量劫持。2.你也没办法去要求一个不注意安全的公司把所有的东西基本安全做到位
sampeng
2018-09-26 18:07:37 +08:00
另外也没必要恐慌。
除了隐私会被洗刷刷外,和钱有关的倒是没什么太大问题的。都有二次交易密码。

另外,有些懒得搞 secure+https 的也会有一些措施的。比如 cookie 本身是加密的。如楼上所说的 sina。2012 年抓包研究过。cookie 里只是一些索引 id 和加密信息。虽然回放是可以登录没错。但条件也比较苛刻。防君子不防小人那种。
再比如 cookie 加密信息里面会有过期信息。ip 等信息,多重的校验防止 cookie 被劫持了回放。问题是有。但不至于人人自危。。。

所以,各位同行。。。虽然不做安全方面专家,基本的安全手段还是要注意一下

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/492685

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX