都 2020 年了,CCB 的官网首页居然没有默认强制 https.....

不登录的话会不会有些 session 信息或 cookie 信息也会被劫持

他的登录之后是另一个系统, 跟本身公开信息完全没关系. 微博是有关系的.

@swiftg 我的疑问主要是 DNS 劫持之后，访问 A 网站，给我的是 B 网站的 IP，浏览器请求这个 IP，但是地址栏还是 A 网站的域名吧？而请求了 B 网站的 IP 后，B 网站是有合法证书的，而 B 网站反代了 A 网站，内容上也区别，用户在浏览器地址栏看到的域名是 A 网站，内容也是 A 网站(实际是 B 网站反代的)，怎么能分辨是否是 A 网站呢？

@jhdxr 不好意思，在自己服务器上还真能搭建个 V2EX 的 https 站。host 指向本机。 我不懂？呵呵。
无法伪造受信任的证书？？ 你真搞笑。

以下均假设软件实现正常，操作系统未被侵入，没有装过来源不明的根证书（但不假设网络 /路由器是安全的）：

1. http 网站在 MITM (中间人) 攻击 / DNS 劫持的情况下有可能在你不注意的时候获取或篡改你的消息内容（包括但不限于偷取你的密码，cookie，登录凭证以伪造你身份，或者修改网页内容来钓鱼）。

2. https 网站下可能可以获知你所访问的是什么网站（ SNI ），但无法获取具体的网址或者内容。例如，攻击者可以知道你访问了 www.google.com 但不知道你具体搜索了什么，更无法获得你的账号。如果网站和浏览器使用的带 SNI 加密的新版 TLS 1.3 协议的话，连网站的域名都没法获得。

总体而言，**即使路由器被入侵，DNS 被劫持**，或者连接的是没有密码的刻意的**公共 Wi-Fi**，或者是来历不明的**代理服务器**，只要浏览器和操作系统没有被侵入，并且使用的是 **https 协议**，那么信息基本上是安全的。就算是运营商也没法获得你消息的内容。

有可能存在危险的情况：

1. 手动忽略了浏览器的证书不一致警告。
2. 安装了用来监听的软件 /浏览器。
3. 使用了还在用 http 协议的网站 /app。
4. 安装了来历不明的证书。
5. 打开网站是先打开 http 版本然后等待网站自动帮你跳转到 https 的。

关于降级攻击：不满足使用 https 协议这一条件，可以通过 HSTS (强制 https) 解决。
关于公共页面的 HTTP 的危险：攻击者可以通过篡改 HTTP 网页使得诱导到一个篡改过的 HTTP 登录页面（降级攻击）或者诱导到钓鱼网站等方式窃取用户信息。

以上内容均为我的个人理解。如有错误，烦请指正。

@chengzi168 B 网站无法提供 A 网站域名的证书，浏览器会校验域名

@fancy111 伪造受自己电脑信任的证书很简单，生成受所有电脑信任的证书其实也很简单，但每做一次需要消耗一家 CA，伪造证书只存在于利用 CA 的漏洞等理论上的情况，如果你有办法，报给那家 CA 应该可以获得那家 CA 的巨额奖励，除非那家是 wosign （

@mercury233 明白了

@chengzi168 B 站上不可能有 A 站域名的合法证书

@fancy111 空口无凭，请做一个 v2ex.com 的受信任证书出来，相信 CIA 都抢着要你加入了

上面有几个老弟真是搞笑，还篡改 https，除非你用自己开发的浏览器，自己信任自己签发的证书来自娱自乐一下。

否则还是先了解下 网站签发证书流程和原理再说吧，或者你家就是 CA 签发机构

你自己信任自己很简单，但是让别的浏览器来信任那就吹的有点过了

别光说不练，你自己搭一个 百度 腾讯 淘宝，让你我们访问下开开眼

@fancy111 牛逼，无知还这么傲慢

没有全站 https 的话，等于 https 就是摆设。风险有：
1.首页篡改。中间人伪造首页，用户点击登录链接后进入的是伪造的登录页面，造成用户名和密码一起泄露。
2.跨域风险。浏览器一般将 https 和 http 当成跨域对待，用户在 https 登录，登录后的页面如果有指向 http 的跨域请求，而 http 有可能会被黑掉，如果网站不慎绕过了跨域限制，就会造成令牌泄露。


不会发图- -

大家别争了，自己写一个 HTTPS 中间人攻击不就懂了吗😏
比如：github.com/monkeyWie/proxyee

@monkeyWie 上面那位在#12 可是说了只用路由器安证书的
抓 HTTPS 的包需要在客户端安证书，这是常规操作，请问你想说明什么呢？
"HTTPS 支持
需要导入项目中的 CA 证书(src/resources/ca.crt)至受信任的根证书颁发机构。
可以使用 CertDownIntercept 拦截器，开启网页下载证书功能，访问 http://serverIP:serverPort 即可进入。
注：安卓手机上安装证书若弹出键入凭据存储的密码，输入锁屏密码即可。"

@manami 老哥你英文水平有点捉鸡啊
risk \neq threat，本身连 Wi-Fi 确实存在创造攻击面的潜在可能，那都叫 risk，你在没 Wi-Fi 的地方开着 Wi-Fi 就是 risk 了。
POODLE 降级虽然对浏览器可行但可以被 SSL pinning 修复（锁定证书和加密方式），支付宝，一个可以执行代码的 App，当然可以做 SSL pinning，说自己能防这种没问题啊。

能别看翻译？我从来没见过翻译软件翻译整句准过，**一次都没有**，因为简单的我根本不求助翻译软件，难的翻出来就是各种错的。

无知还要狡辩 这种人多了去了

@no1xsyzy 秀英语水平？我英语六级 583 分不算优秀但没你说的那么差……我截图用了翻译是方便其他 v 友看