以前感觉 HTTPS 很安全，现在有一点点改变看法了。

HTTPS 安全是因为有 SSL 加密，网管直接抓包是看不到具体内容的。

但是，我发现 chrome 会把很安全的 SSL 密钥导出到明文，仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE)，就能轻易做到！

这意味着，公司网管只要在我机器上简简单单配置一个环境变量，我电脑上 chrome 浏览的所有网站，用户密码，他都能直接看到。并且 chrome 浏览器毫无风险提示信息，让人非常没有安全感。

msg7086

2023-03-10 08:03:53 +08:00

导出了秘钥你别给网管不就解密不了你的信息了。

啊？网管能随意读写你硬盘上的文件？那你说个屁咧。

shijingshijing

2023-03-10 09:17:50 +08:00

https 目前在国内最大的意义是防止电信劫持，你质疑的场景都错了，公司电脑 IT 部门随便控制的，什么让你造成了公司电脑应该我来完全控制的假象？

gollwang

2023-03-10 09:19:55 +08:00

打个比方，https 就像是一把锁，安全在于这把锁能够锁住重要信息，你没办法在不通过钥匙的情况下打开门，而你现在的情况是钥匙给了别人，现在回过头了怪锁不安全，为什么钥匙可以打开。。。

luoshuhui

2023-03-10 09:31:59 +08:00

@tool2d 你就说用来真正加密报文的对称密钥呗。。。。

yunweier

2023-03-10 09:52:45 +08:00

https 是解决传输层面的窃听，能入侵你电脑了，别说环境变量，Chrome 的密码、浏览记录统统都能明文拿到

b1u2g3

2023-03-10 10:05:12 +08:00

谢谢#100 楼的提示
原来 OP 是当初的那位，大家可以散了。。。

zpf124

2023-03-10 10:58:31 +08:00

https 一直是安全的，不安全的你的电脑，我之前在另一个帖子就说过类似的问题，https://v2ex.com/t/830030#reply47 。

https://imgur.com/rBAqkQC

zagfai

2023-03-10 14:07:24 +08:00

https 从来都不安全，不然银行 app 都不会自己做固定公私钥，国家出自己的根证书了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/922534

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.