以前感觉 HTTPS 很安全,现在有一点点改变看法了。

2023-03-09 11:50:25 +08:00
 tool2d
HTTPS 安全是因为有 SSL 加密,网管直接抓包是看不到具体内容的。

但是,我发现 chrome 会把很安全的 SSL 密钥导出到明文,仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE),就能轻易做到!

这意味着,公司网管只要在我机器上简简单单配置一个环境变量,我电脑上 chrome 浏览的所有网站,用户密码,他都能直接看到。并且 chrome 浏览器毫无风险提示信息,让人非常没有安全感。
15204 次点击
所在节点    SSL
109 条回复
kop1989smurf
2023-03-09 12:42:39 +08:00
系统安全,是要有一个场景前提和既定目的的。
并不是所有的框架设计,首要目的都是“绝对安全”。因为这样成本太高,而且适应面太小。

书归正传,https 就是一个针对传输领域的安全协议,他只负责传输层面上的安全,而且是相对安全(破解成本大于破解后的收益)。

chrome 的部分设计确实相对比较激进,或者说懒散。但其依然遵循的是“相对安全”和“场景设计”这两个原则。
比如楼主举例的“明文密码”,“明文 ssl”,其安全逻辑和现实中的钥匙链没什么区别。

如果能接受裤兜里揣钥匙没问题,那么理应来讲 PC 中存明文也没什么问题。
mrcn
2023-03-09 12:44:51 +08:00
你都装监控软件了,还费什么劲拿 SSL ,直接监控你屏幕,直接 hook 你浏览器拿网页,有的是办法搞你。
你能说出这话说明你完全没理解 HTTPS 安全在哪里。
tool2d
2023-03-09 12:50:40 +08:00
@kop1989smurf "如果能接受裤兜里揣钥匙没问题,那么理应来讲 PC 中存明文也没什么问题。"

不是的,chrome 保存的是客户端随机数和服务器端随机数。

什么叫随机数?就是为了让黑客无法预测的数字,可 chrome 都明文保存到磁盘上了,就自然失去了“随机”的作用。

这种明显开发者向的工具,又比较数据敏感的功能,chrome 就不应该默认开启。

IE 这点就很好,SSL 握手密钥只存在内存里,用完就销毁,谁都别想存到硬盘上。
StarRail
2023-03-09 12:53:16 +08:00
再说一个吓人的,据统计一半使用 CDN 的网站采用了 CloudFlare CDN 。HTTPS 端到端加密到 Cloudflare 这里就透明的,与国际间谍组织无缝共享数据 :P
tool2d
2023-03-09 12:55:10 +08:00
@mrcn "说明你完全没理解 HTTPS 安全在哪里。"

在我眼里的安全,就类似苹果手机加密,官方来了也没办法解锁。

chrome 这种静默导 SSL 密钥,明显是给 https 破解留了一个后门。我不想要什么后门,要调试代码,可以用自签名证书。

我就希望 https 加密后的数据,谁都看不见,包括我自己!
adoal
2023-03-09 13:19:43 +08:00
文不对题,不安全的明明是 Chrome 这个具体浏览器的密钥日志行为,又不是 HTTPS 本身。
tool2d
2023-03-09 13:29:04 +08:00
@adoal 因为不仅仅是 chrome ,包括 firefox 和一大堆套皮 chrome 浏览器,都会有类似行为,都用同一个环境变量名。

不知道 edge 加了 chrome 内核会有什么表现,还没尝试。反正我只知道 ie 内核是 100%安全的。
adoal
2023-03-09 13:29:50 +08:00
我倾向于认为是开发人员脑子抽筋导致的 bug ,而不是后门。这个是 Chrome 开发人员为了方便调试 Chrome 本身用的,不是给业务系统的 web 开发人员调试网站用的,跟你说的“要调试代码,可以用自签名证书”没关系。
LokiSharp
2023-03-09 13:47:06 +08:00
都能设置环境变量了,也就没什么隐私了把
adoal
2023-03-09 13:49:57 +08:00
经过搜索,这个环境变量是来自 Netscape NSS 库。从 NSS 3.24 开始,用 Makefile 构建的默认关闭,用 build.sh 调用 gyp 构建的仍然启用。Firefox 官方版本重新启用了,而 Debian 拒绝启用。

有说 OpenSSL 也遵循了 NSS 的这个惯例。但是细节我还没搞清楚。
dqzcwxb
2023-03-09 13:53:35 +08:00
没有绝对的安全,只有相对的安全
levintrueno
2023-03-09 13:56:26 +08:00
你用 IE ,觉得 HTTPS 安全。IE 外,觉得 HTTPS 不安全。
那么,问题出在 HTTPS 上了嘛...
leonshaw
2023-03-09 13:57:12 +08:00
不来个 LD_PRELOAD 呢
lambdaq
2023-03-09 13:58:53 +08:00
https 是否安全是跟。。。。。http 比吧?

你 http 甚至都不需要 SSLKEYLOGFILE 呢,亲。
lambdaq
2023-03-09 14:00:25 +08:00
你可以打开 chrome.exe 二进制,找到 SSLKEYLOGFILE ,改成别的。
Helsing
2023-03-09 14:01:02 +08:00
@i863 #24 你确定?那 CloudFlare 就是中间人了,谁还敢用?
Seanfuck
2023-03-09 14:05:56 +08:00
@Helsing 中间人需要客户端安装和信任证书
hxy91819
2023-03-09 14:09:33 +08:00
我就觉得楼主考虑的有道理。现在很多所谓的“零信任”设计思路,也是不相信任何中间协议的安全性。
idontnowhat2say
2023-03-09 14:10:31 +08:00
@Helsing cdn 基本都是这样的,或多或少,不然你 ssl 加密的请求了咋给你加速
kaedeair
2023-03-09 14:10:47 +08:00
@tool2d 25# 是真的苹果官方不能解锁,还是官方不想让公众知道他们能够解锁
没有绝对安全的系统

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/922534

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX