以前感觉 HTTPS 很安全,现在有一点点改变看法了。

2023-03-09 11:50:25 +08:00
 tool2d
HTTPS 安全是因为有 SSL 加密,网管直接抓包是看不到具体内容的。

但是,我发现 chrome 会把很安全的 SSL 密钥导出到明文,仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE),就能轻易做到!

这意味着,公司网管只要在我机器上简简单单配置一个环境变量,我电脑上 chrome 浏览的所有网站,用户密码,他都能直接看到。并且 chrome 浏览器毫无风险提示信息,让人非常没有安全感。
15205 次点击
所在节点    SSL
109 条回复
libook
2023-03-09 11:55:30 +08:00
这压根不是 HTTPS 的职责范围。你都突破物理隔离了,即便不用环境变量装个抓包证书就可以吧,或者替换个加了后门的魔改版浏览器也可以吧。

HTTPS 有效的前提是你信任你的浏览器和操作系统。
Rrrrrr
2023-03-09 11:57:37 +08:00
不知道为什么我电脑上的 charles 好像不好用了,chrome 也会提示风险,有些还一直报
Rrrrrr
2023-03-09 11:58:09 +08:00
chrome 版本:110
tool2d
2023-03-09 11:59:19 +08:00
@libook 公司的电脑,装 1 ~ 2 个普通的网管监控软件是很正常的。电脑算公司的财产,不是完全个人所有。

还有些公司用的是瘦客户端,更没有主导权了。

我是觉得 chrome 不应该把密钥那么重要的东西,就直接静默导出,至少弹出一个确认对话框吧。
benedict00
2023-03-09 12:00:55 +08:00
@Rrrrrr charles 证书到期了吧,重新生成证书再安装,信任吧
tool2d
2023-03-09 12:01:01 +08:00
@Rrrrrr charles 是代理,能看 HTTPS 明文我能理解。

但是 SSLKEYLOGFILE 这个变量,不用加代理都能看明文。
binux
2023-03-09 12:03:25 +08:00
@tool2d 你都装监控软件了,不加这个变量,直接给你套个 Charles 不是一样的吗?
libook
2023-03-09 12:03:44 +08:00
@tool2d #4 Chrome 确实有些设计不合理的地方,不过你要知道,它只是个浏览器,这就决定了它的安全性设计仅满足于浏览器本身的需求。
所以涉及到敏感信息的情况,我通常不会使用普通浏览器,比如密码管理。

不过不管怎么说,你讲的也都不属于 HTTPS 的功能范围。安全向来都是相对而言的,还是得自己了解其中的原理,然后再根据需求慎重决策。
locoz
2023-03-09 12:04:22 +08:00
@tool2d #4 设备都已经受控了,HTTPS 再牛逼也保不住你啊…
KSR
2023-03-09 12:05:35 +08:00
公司的电脑不属于你,你为什么要在不属于你的设备上登录你的账号?

如果是你个人的电脑,你可以拒绝网管的要求。
tool2d
2023-03-09 12:07:46 +08:00
@KSR 说的对,我改用 IE 登录帐号。

IE 绝对不会把我的 SSL 密钥导出到明文,这点我相信微软。
cyrbuzz
2023-03-09 12:08:33 +08:00
一楼+1 。

能操控物理机啥 s 都不好使。

我都能操控给你电脑加环境变量了,在你证书里赛个其他证书也不是难事。
binux
2023-03-09 12:11:38 +08:00
@tool2d IE 确实不会导出到明文,因为为了看你的通信内容,监控软件压根就不需要 SSL 密钥。。。
twl007
2023-03-09 12:15:14 +08:00
@tool2d 公司不需要这么 low 的手段
tool2d
2023-03-09 12:16:07 +08:00
@binux 如果是中间人代理,我反倒不怕,在 chrome 看一下网站根证书就知道是被监控了。

我怕的是在自己不知情的时候,被监控。

以前看 HTTPS 文档有说到,内存里的握手密钥,在建立连接后,都是需要马上销毁的,chrome 怎么还能保存到明文呢,真是晕过去。
binux
2023-03-09 12:17:16 +08:00
@tool2d 你不是去用 IE 了吗?
0o0O0o0O0o
2023-03-09 12:17:19 +08:00
这不是 https 保障的范围。
iClass
2023-03-09 12:26:30 +08:00
最好的浏览器是自研浏览器。由于只有一个地球,基于能量守恒原则,谷歌今年必须趴下,让微软抬头。
dcsuibian
2023-03-09 12:28:17 +08:00
用得着配置环境变量,公司直接给你装个证书,不行直接给你录屏

你连电脑的控制权都没有,赖我一个小工具,我也很无奈啊
tomczhen
2023-03-09 12:37:11 +08:00
ssl 确实不安全,只要有人拿刀架我脖子上,我啥都说了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/922534

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX