直到现在仍有不少人认为，访问没隐私没价值的网页，不是 HTTPS 问题不大。。。

2018-09-26 11:32:18 +08:00

mytry

直到现在，居然仍有不少人（甚至包括做 Web 开发以及安全的），以为只有涉及隐私的网页用 HTTPS 才有意义。随便浏览一个从搜索引擎里点出来的 HTTP 垃圾站对自己并没什么影响。。。

殊不知，只要允许了三方 Cookie （各大浏览器默认允许），访问任何一个 HTTP 网页，各大网站的 cookie 都会瞬间泄露。。。（原理很简单，大家可以想想为什么）

而且国内大部分网站隐私 Cookie 都没加 secure，也极少有网站同时开启 HSTS+includeSubDomains，导致用户 cookie 大片大片的泄露。

真正了解这个风险并禁用三方 Cookie 的寥寥无几，最悲催的是不少国内大网站都依赖这个，禁用后正常功能都会受影响。。。

15566 次点击

所在节点

程序员

111 条回复

est

2018-09-26 18:08:22 +08:00

@mytry 给你你们透露一下。微博的漏洞不仅仅 cookie。。。可以通过某个猥琐技巧把某些 token 算出来。。。

好几年前的漏洞了。不知道现在还有用不。

20150517

2018-09-26 19:18:20 +08:00

@est 来说说思路，怎么算出来

acess

2018-09-26 19:20:15 +08:00

HTTPS Everywhere 这个插件应该能起到一些作用吧？

Hallujah

2018-09-26 19:23:19 +08:00

使用禁用第三方 cookies 功能后，chrome 和 firefox 都无法在 youku 上播放视频

mytry

2018-09-26 19:39:37 +08:00

@est 几年前还发现微博视频 flash 的一堆业务漏洞，任意网站都可以读取已登录微博的私信~（不用中间人，就普通的类 CSRF ）貌似到现在都没修。只是 flash 被主流浏览器禁用，这个漏洞自然失效。。。

另外网易邮箱同样也有这个漏洞，任意网站都可以读取发送用户的邮件~ 上报了几次同样没修，到现在仍有效。。。

这几个漏洞都是没禁用三方 Cookie 导致的。禁了三方 Cookie 绝大多数 CSRF 漏洞都会失效。

ccnccy

2018-09-26 19:52:07 +08:00

很多年前听说过，黑产来的

kslr

2018-09-26 20:02:09 +08:00

禁用了第三方 cookie 很久了，就我的使用体验，只有几个不重要的网站不能使用。
国内 bilibili 不能登录而已

kingcc

2018-09-26 20:02:28 +08:00

钓鱼贴终结

kawaii303

2018-09-26 20:03:49 +08:00

chrome 设置阻止第三方 cookie 后，淘宝无法登录，因此阻止第三方 cookie 也有副作用。

mmdsun

2018-09-26 20:16:40 +08:00

说的是 xss 吧？没看懂

mytry

2018-09-26 20:34:15 +08:00

@kawaii303 重要的网站用专门的浏览器，禁用三方 Cookie （以及禁用各种扩展），只访问固定几个网站。平时访问普通网站用开着三方 Cookie 的浏览器。

zwh2698

2018-09-26 22:35:30 +08:00

Https 应该大量推广，但是安全总是攻防。只是暂时还好。在国内某厂的员工访问外部的 https 内容照样被监控，插入内容，拦截内容。所以安全给了我们提醒思想不能放松，这可能才是重要的，https 等也仅仅是一个手段而已

lscho

2018-09-26 22:54:12 +08:00

直到现在还有人认为导致用户 cookie 大片大片的泄露的原因是：国内大部分网站隐私 Cookie 都没加 secure，也极少有网站同时开启 HSTS+includeSubDomains。只要允许了三方 Cookie （各大浏览器默认允许），访问任何一个 HTTP 网页，各大网站的 cookie 都会瞬间泄露。。。

原理很简单，楼主给讲讲呗？

ww2000e

2018-09-26 22:58:05 +08:00

第一份工作就是网络审计，猥琐极了

mytry

2018-09-26 23:28:15 +08:00

@lscho #46 不是讲过了啊

Lonely

2018-09-26 23:38:20 +08:00

@qiuqiuer 我用的 Safari 和 Chrome 都是简体中文的，有问题吗？

meik2333

2018-09-27 00:15:44 +08:00

感觉这个问题是全网存在的啊......
别的不说，如果有人连接我的 WiFi 上任何一个 HTTP 的网站，那我就能拿到他 QQ 的 skey，然后各种瞎搞。运营商要是想搞的话只会更容易吧。

msg7086

2018-09-27 00:22:05 +08:00

@xenme ESNI 还在 draft 吧，啥时候上线还不好说呢……
而且要中间人 ESNI，那等于是对 ESNI 做无差别阻断了吧，感觉已经超出劫持获取域名这个范畴了。

lscho

2018-09-27 00:38:23 +08:00

@mytry 所以呢？中间人的话，https 有什么用？访问任何一个 HTTP 网页，各大网站的 cookie 都会瞬间泄露？麻烦你给我个 http 网页，把我的 cookie 拿一下

likaka

2018-09-27 10:57:20 +08:00

软件在局域网怕个叼

第 5 页／共 6 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/492685

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.