以前感觉 HTTPS 很安全,现在有一点点改变看法了。

2023-03-09 11:50:25 +08:00
 tool2d
HTTPS 安全是因为有 SSL 加密,网管直接抓包是看不到具体内容的。

但是,我发现 chrome 会把很安全的 SSL 密钥导出到明文,仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE),就能轻易做到!

这意味着,公司网管只要在我机器上简简单单配置一个环境变量,我电脑上 chrome 浏览的所有网站,用户密码,他都能直接看到。并且 chrome 浏览器毫无风险提示信息,让人非常没有安全感。
15204 次点击
所在节点    SSL
109 条回复
idontnowhat2say
2023-03-09 14:16:40 +08:00
https 是个通信协议,跟你本地安全不安全和这个有啥关系,你能都在 client 端操作了,基本就是所见即所得。导出 SSLKEYLOGFILE 只不过是 ssl 库的一个方便本地抓包调试的特性罢了。 你认真说的话,在客户端那没啥安全的了,就算没有 SSLKEYLOGFILE 也能有 100 种方法获取到你的通信内容,用 epbf hook 系统调用,一切皆可见。
Helsing
2023-03-09 14:17:27 +08:00
翻完帖子才明白楼主说的是 https 中的协商出来的对称加密密钥可以导出来

感觉楼主确实没太理解 https ,https 安全的前提是设备必须安全可信,没有这个前提,哪来的安全

你提的问题只能表明 Chrome 不安全,而不是 https 不安全

另外,苹果手机加密,如果加密过程中也像 Chrome 能导出密钥或者留有后门什么的,一样也是不安全的,并不存在什么绝对安全……
Helsing
2023-03-09 14:20:48 +08:00
@Seanfuck #37 我知道啊,所以我很好奇 https 怎么到 CDN 就透明了,这不是很离谱吗
leoleoleo
2023-03-09 14:24:24 +08:00
ssl 或者 tls 那是保证传输层面安全的技术啊,本地系统层面有问题,数据还没发出去就被拿走了,这能怪传输层面的安全技术吗。一旦系统层面不安全了,浏览器啥机制都不顶用啊,不管数据存在硬盘还是内存,一样能读取呀,23 楼 op 还在说存储机制和随机数的事,大哥了解一下 ssl 技术,随机值和协商出来的加密密钥都是一次性的,每一次通信完成后就没用了,这一点上你存在内存和存在硬盘上有什么区别啊。
yolee599
2023-03-09 14:24:50 +08:00
SSL 可以保证“传输过程中”的安全,数据包已经到了你的电脑,那这个数据包已经不归 SSL 管了。就像运钞车,钱已经运到了银行,并且交到了银行手上,在银行被别人持枪抢劫了是不归运钞车管的。
Helsing
2023-03-09 14:26:05 +08:00
@idontnowhat2say #39 看了一下 CDN 的原理,确实如此
newmlp
2023-03-09 14:37:50 +08:00
chrome:别人都能改你环境变量,读你本地文件了,你告诉我没保障你的安全?
tool2d
2023-03-09 14:43:31 +08:00
@leoleoleo "大哥了解一下 ssl 技术,随机值和协商出来的加密密钥都是一次性的,每一次通信完成后就没用了,这一点上你存在内存和存在硬盘上有什么区别啊。"

是一次性的,所以 chrome 把每一次通讯的 ssl 密钥都保存下来了。你客户端发起了 100 次请求,chrome 就老老实实保存 100 份密钥。以确保网管在出口网关上,抓取的所有加密数据包,都能正确解密。
CatCode
2023-03-09 14:50:10 +08:00
你给 Chrome 启动套个娃呗,整个脚本启动 Chrome 前先把 SSLKEYLOGFILE 变量设为空,不就行了吗
AA5DE3F034ACCB9E
2023-03-09 14:52:11 +08:00
我觉得 OP 讲得有道理,我对 HTTPS 了解不多,但如果提供容易获取 SSL Key 的方式,我觉得不应该,稍微加点门槛都好过随便获取吧
yannxia
2023-03-09 14:58:05 +08:00
@AA5DE3F034ACCB9E 和 Chrome 有关系,和 HTTPS 有啥关系呢,Chrome 提供一个方便 Debug 的功能,你别开呗,但是你电脑被控制了,开了这个功能,但是主要问题是你的电脑被控制,就算 chrome 没提供这个功能也有其他办法搞定。
geelaw
2023-03-09 15:06:33 +08:00
不太确定 OP 在期待什么。公司的电脑是公司控制的,公司可以不间断查看你的内存,那么 Chrome 记录不记录也没什么区别,你能做的就是不使用公司电脑做不能让公司知道的事情。
mrhhsg
2023-03-09 15:17:26 +08:00
以前感觉飞机很安全,最近有一次我下了飞机扫了个共享单车骑回家居然摔了一跤。。。仅需要一辆共享单车就能引起飞机乘客的受伤,让人非常没有安全感
byte10
2023-03-09 15:18:51 +08:00
@tool2d 我也是醉了,跟你导出 ssl 有啥关系。网管直接让你安装 信任根证书就完事啦。思维还是没转过来。

之前还有一个同事说,浏览器的 cookie 被别人的导出去怎么办? 账号岂不是被别人登录上啦?你电脑都没有设置高强度密码,肯定会被偷看到啦。所以现在很多都是指纹解锁。很多支付都要二次确认。

太多这样无逻辑的担忧。。。
Ericcccccccc
2023-03-09 15:32:02 +08:00
公司电脑装了监控软件可以做到 10s 截一次屏幕的. 你要担心的东西不应该限制在 https 上.
Promtheus
2023-03-09 15:33:53 +08:00
https 是防止的网络嗅探吧,你这直接在源点就被黑了这还搞个毛线
justfindu
2023-03-09 15:35:26 +08:00
你这都已经跳出互联网范畴了呀.
8355
2023-03-09 15:40:13 +08:00
linux 获取了 root 权限
windows 获取了 administrator 权限

还有什么是做不到的吗 做不到只是技术能力问题 不是限制问题
反向理解这是我个人电脑有 administrator 我想干啥计算机能做到非不让我干那对吗...

好像租了房东的房子换了把锁 房东就进不来了吗...
sujin190
2023-03-09 15:59:42 +08:00
都能给你设 SSLKEYLOGFILE 环境变量了,直接给你搞个根证书不更好么,这下不管你是不是 chrome 都随便看了,所以都物理突破了既然已经有更容易使用的方法,那么 chrome 搞不搞还有啥意义,而且设置这个现实也确确实实会有这个需求啊
fregie
2023-03-09 16:12:26 +08:00
都能跑到你电脑上为所欲为了,这就跟网络协议没关系了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/922534

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX