请问服务配置有 ca 机构颁发的 https 证书,安卓的 https 请求是否还可以被中间代理攻击?

2019-12-04 16:10:49 +08:00
 qwwuyu
现在使用安卓项目使用 https,使用 Fiddler 代理的话,会抛出证书效验失败。
中间人代理可以模拟 ca 机构的所有操作么?
还是说手机上内置了 ca 机构的初始证书,中间代理无法破解手机向 ca 机构的请求。
10810 次点击
所在节点    Android
16 条回复
qwwuyu
2019-12-04 16:13:15 +08:00
2B 了, 肯定是不能代理的,不然浏览器早 GG 了..
wangyzj
2019-12-04 16:22:36 +08:00
正向代理不会
eason1874
2019-12-04 16:38:18 +08:00
可信 CA 的存在就是为了防中间人,你说呢?
crclz
2019-12-04 17:40:49 +08:00
建议简单但系统的了解一下 ssl 和 ca 分别解决了什么问题
morethansean
2019-12-04 17:42:57 +08:00
ca 机构的根证书是内置的,中间代理软件会让你安装它自己的证书去劫持啊。
chennqqi
2019-12-04 17:45:18 +08:00
https 不能解决的是本地证书被替换的问题
mouyase
2019-12-04 17:52:55 +08:00
客户端开发的时候,不要信任用户证书,就不会被攻击了,否则可以通过装证书实现中间攻击
jadec0der
2019-12-04 18:26:18 +08:00
建议系统了解下 SSL 的机制,证书和根证书的区别,fiddler 提供根证书,装了就能中间人 https 了
NerverLibis
2019-12-04 18:39:49 +08:00
可以攻击 dh 算法少于 2048 位可被中间人握手攻击 常见于 sslv3 tsl1
mouyase
2019-12-04 18:59:14 +08:00
补充一个,root 后可以信任第三方证书
dosmlp
2019-12-04 19:36:05 +08:00
在保证端安全的情况下可以
annoy1309
2019-12-04 20:47:31 +08:00
如果这个中间人有作恶的实力(比如直接或者间接控制 /干预某个根 CA )还是可以做到的,所以做好的方法还是 PGP 之类,将加密链掌握在自己手里
ilotuo
2019-12-04 21:06:59 +08:00
我理解是中间人也装了 CA 证书就可以。
如果客户端要确认服务端身份,可以做个单向验证。
qwwuyu
2019-12-04 21:19:08 +08:00
5L 应该是正确的.. 正常情况下用户没法被代理攻击
jimages
2019-12-04 21:45:02 +08:00
看似安全,实际上用户可能会被诱导安装根证书(而且用户非常容易被诱导)。所以大厂都不只依靠 https 做安全校验,要么是检验证书指纹,要么是数据打上签名……balabala 等待方案
lululau
2019-12-04 21:48:09 +08:00
首先,得明白,用户自己通过代理看到 https 流量的明文(方法就是用户主动信任了代理软件“伪造”的 ca 证书),这个不叫“中间人攻击”

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/625915

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX