首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
拉勾
V2EX  ›  分享发现

使用 HTTPS 的网站也能被黑客监听到数据( 转自 zhihu)

  •  
  •   timepast · 2014-02-20 11:04:10 +08:00 · 2186 次点击
    这是一个创建于 1855 天前的主题,其中的信息可能已经有所发展或是发生改变。
        1
    oott123   2014-02-20 11:13:49 +08:00 via Android
    他那是跳转到了http页…
        2
    cxe2v   2014-02-20 11:17:36 +08:00
    命名就是中间人攻击,麻烦你好好看文章
        3
    ETiV   2014-02-20 11:22:33 +08:00
    @oott123 而且还换了域名...
        4
    Shieffan   2014-02-20 11:30:11 +08:00
    敢不敢来点有营养的
        5
    Tink   2014-02-20 11:31:12 +08:00
        6
    ejin   2014-02-20 11:45:11 +08:00   ♥ 1
    此案例的关键是

    用户访问的网址是http的,http可以劫持,一般安全部分会在代码里跳转到https,但是因为http是可以劫持,于是修改掉https的链接,于是依然是http,懂了么?根本就无关https半毛钱关系。因为劫持的关系,根本就不会往https跳转

    也就好像是,如果你去支付宝,你打入www.alipay.com访问的是http://www.alipay.com,这时候是可以劫持的。没被劫持的话为了安全会跳转去https

    但是如果你直接输入https://www.alipay.com那么就无法被劫持。

    换个说法就是,你的QQ密码很安全,QQ本身也很安全,但是你每次输入之前都把每个密码念出来,于是被盗了。在安全的环境里这样干不会有问题,但是在有坏人的情况下,是不安全的。

    以上情形不包含3件事情。
    1.你的电脑被导入了劫持方的证书颁发机构到信任列表里。
    2.你电脑信任的证书颁发机构使坏,自己去生成对应域名的证书
    3.证书颁发机构被黑,于是结果同第二条

    养成一个好习惯,每次支付的时候,关键动作的时候,抬起头来看看地址栏是不是https开头的
        7
    est   2014-02-20 11:56:05 +08:00
    要做到不被中间人,请用静态编译自带CA Cert的浏览器,并且把alipay paypal的 ssl fingerprint背下来。这样可保万年无忧 :)
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   853 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 19ms · UTC 19:46 · PVG 03:46 · LAX 12:46 · JFK 15:46
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1