以前感觉 HTTPS 很安全，现在有一点点改变看法了。

HTTPS 安全是因为有 SSL 加密，网管直接抓包是看不到具体内容的。

但是，我发现 chrome 会把很安全的 SSL 密钥导出到明文，仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE)，就能轻易做到！

这意味着，公司网管只要在我机器上简简单单配置一个环境变量，我电脑上 chrome 浏览的所有网站，用户密码，他都能直接看到。并且 chrome 浏览器毫无风险提示信息，让人非常没有安全感。

fields

2023-03-09 16:16:26 +08:00

跟 https 有什么关系　 https 是传输过程　浏览器是另外的领域了

newmlp

2023-03-09 16:17:28 +08:00

@AA5DE3F034ACCB9E 在本地已经不安全的情况下，这种门槛毫无意义，人家不能在你系统里装一个自签名证书，一样抓你数据，甚至比环境变量还简单

churchmice

2023-03-09 16:26:27 +08:00

又是想搞个大新闻，还以为 ssl 被攻破了呢
你这问题恰好说明 https 的重要性

iX8NEGGn

2023-03-09 16:40:58 +08:00

本地安全关 https 什么事，人家保障的通信链路的安全，退一万步讲，这是浏览器的策略，和 https 也完全不搭边

yaphets666

2023-03-09 16:44:45 +08:00

这和直接把你绑票了，问你信息有啥区别。你要这么说，密码这个东西根本就没用，我直接打开你浏览器，复制一份你的参数就可以了。

tool2d

2023-03-09 16:55:13 +08:00

@luoshuhui "没明白 ssl 密钥是指什么？"

https 传输，底层一般会用 AES 这类的算法加密数据。

SSL 为了保证安全性，原则上每一次新的请求，都会要求客户端更换新密钥。

而 chrome 的 SSLKEYLOGFILE ，会把每一次更换的密钥，都保存下来。有了密钥后，就相当于网管在出口抓包，抓的是明文 http 。

JKeita

2023-03-09 16:57:43 +08:00

你这话说的，你都电脑上被监控了，还有啥隐私可言，跟 https 有啥关系。

AA5DE3F034ACCB9E

2023-03-09 16:59:18 +08:00

@yannxia 对，我想说的是 Chrome 。虽然有人拿刀架在脖子上做比喻，但我还是无法理解把钱放在电视抽屉的操作，假如有更好的保险箱的情况下，或者是暗格

JKeita

2023-03-09 16:59:42 +08:00

@tool2d 你这话说的，及时苹果手机你把解锁密码跟别人说了不也一样。

bluedawn

2023-03-09 17:08:42 +08:00

草，点进来前还以为 https 这么多年了居然还能有漏洞
点进来以后“哦这样啊那没事了”。

tool2d

2023-03-09 17:14:09 +08:00

@JKeita "你这话说的，及时苹果手机你把解锁密码跟别人说了不也一样。"

两者完全不一样的。

1. 拿刀架脖子，让我交待苹果锁屏密码，我认怂。（公司让强制安装根证书）

2. 在办公室屋顶安装一百倍放大镜，偷看我解锁屏幕的密码，我不服。（用环境变量静默导出，大部分人都不知道还有这个参数）

Metre

2023-03-09 18:19:56 +08:00

https 不是做加密的吧？ https 是防篡改
要加密自己套代理

banmuyutian

2023-03-09 18:26:59 +08:00

强盗都跑进家里了你怪管家放东西不够严实……

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/922534

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.