V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lhbc
V2EX  ›  信息安全

关于 360,其实去年还有个故事

  •  2
     
  •   lhbc · 2016-10-09 01:23:02 +08:00 · 6409 次点击
    这是一个创建于 3002 天前的主题,其中的信息可能已经有所发展或是发生改变。
    CAB Forum 有人问,为什么 360 SE 浏览器在证书错误的情况下,依然加载页面并且发送 cookies
    360 的解析是因为中国有很多自签证书和过期证书,这是提升用户体验
    最后 360 的做法是弄个更显眼点的提示条……这事就不了了之
    详细过程可以看 mailing list
    https://cabforum.org/pipermail/public/2015-April/005441.html

    现在 360 SE 浏览器依然会直接加载证书错误的网站并且发送 cookies
    37 条回复    2016-10-15 08:49:09 +08:00
    coreki
        2
    coreki  
       2016-10-09 07:50:18 +08:00 via iPhone
    符合国情,我爸他们工作需要进的网站(中国移动的),就总是提示证书过期, 360 就能直接进,他们就喜欢
    7654
        3
    7654  
       2016-10-09 08:31:45 +08:00
    用 360 的真是作死啊
    Vhc
        4
    Vhc  
       2016-10-09 08:33:27 +08:00 via iPhone   ❤️ 3
    终于明白了。
    之前在一家金融公司工作,公司财务要登录很多金融机构给下面的代理商提供的后台,用什么浏览器都打不开,谷歌火狐好像提示网站被劫持,没有“信任证书”的选项, IE 提示证书不受信任。唯独 360 浏览器可以打开。然后全公司都认为 360 是全世界最好的浏览器。
    ragnaroks
        5
    ragnaroks  
       2016-10-09 09:02:05 +08:00   ❤️ 1
    1/3 楼正解,事业单位不懂什么安全,但是 360 浏览器正好满足了这种畸形需求,下发的文件里面甚至都写明"请各部门用 360 浏览器打开指定链接进行填报"
    Osk
        6
    Osk  
       2016-10-09 09:04:38 +08:00 via Android   ❤️ 1
    还记得 outlook 被劫持那次吗?我先去取个快递。。
    jhaohai
        7
    jhaohai  
       2016-10-09 09:11:08 +08:00 via iPhone
    很多企事业单位都是自签名的证书,根本就没有买证书的概念
    forestyuan
        8
    forestyuan  
       2016-10-09 09:16:58 +08:00
    连 12306 都不花钱买证书,这安全意识实在令人无语。
    clino
        9
    clino  
       2016-10-09 09:21:30 +08:00
    如果不明显提示并不让用户很容易地浏览自签或者过期网站的话,那 https 又有什么用呢?
    360 到底是不是安全相关的公司?
    感觉上它这么做和 wosign 是有类似的企业文化的,赚钱第一安全第二
    scnace
        10
    scnace  
       2016-10-09 09:25:19 +08:00 via Android
    吃枣出个大新闻。
    0TSH60F7J2rVkg8t
        11
    0TSH60F7J2rVkg8t  
       2016-10-09 09:27:06 +08:00
    吃枣在墙外出个大新闻(墙内继续一片祥和)。
    horsley
        12
    horsley  
       2016-10-09 09:28:52 +08:00
    有些是不买证书,有些是不好签证书,例如纯 ip 入口的一些系统,使用内网自定义域名的系统
    murmur
        13
    murmur  
       2016-10-09 09:32:24 +08:00
    安全和便捷本身是相对的 你打不开一些网站用户就会骂你 谁管是证书过期 你去跟老百姓解释这个问题?
    lazyyz
        14
    lazyyz  
       2016-10-09 09:37:45 +08:00
    用户体验第一,除了业内或者相关人士还有谁会那么注重安全呢?而且对于我身边很多人来说,都是能用的才是最好的
    nicevar
        15
    nicevar  
       2016-10-09 09:41:32 +08:00
    https 现在看起来是有点蠢了,随着时代发展是时候该出现替代品了
    传说中 https 在 NSA 面前不堪一击,有疑心不用这玩意很正常,再说这东西用起来也麻烦,不过在 v 站上影响不少人卖证书的收入了吧
    clino
        16
    clino  
       2016-10-09 09:54:20 +08:00
    @nicevar 除了你说的传说中,哪个地方蠢? 有什么现成的替代品吗?
    nicevar
        17
    nicevar  
       2016-10-09 10:13:30 +08:00
    @clino 看不懂中文?我说有替代品了?是没有地方蠢,使用 https 那是大幅提升访问速度,也没出现过漏洞,证书真是便宜,方案便捷易用对吧
    ryd994
        18
    ryd994  
       2016-10-09 10:40:35 +08:00 via Android   ❤️ 2
    @horsley 好签的很,如果是公司内部电脑,完全可以预先部署自己的 CA 证书,然后想签什么都可以。这样的好处是可以防止被中间人,只要保护好私钥就行。
    自签名证书, https 等于明文。
    @nicevar https 有漏洞,所以直接用明文算了,这个逻辑我服的。就 Web 应用而言, https 就是最通用最容易部署的了,而且可靠性也是非常足够。用起来麻烦就……呵呵, let's encrypt 我看到网上还有人要教程简直想笑。除了运行脚本然后按提示操作,教程有什么用?要收什么费用?
    至于替代品………看看有谁能超越一代代 CS 教授们。 TLS 的安全性是一篇篇学术论文堆出来的。修补升级一直有。全盘推翻?那恐怕就不是一两篇博士论文的问题了。
    说 TLS 蠢……你这样看不起 CS 学界,你导师知道么?
    est
        19
    est  
       2016-10-09 10:44:09 +08:00
    其实这都是因为百度上一些中文教程「如何在 tomcat 配置 ssl 」,然后第一步就是自己签发证书什么的。。。
    yxwzaxns
        20
    yxwzaxns  
       2016-10-09 11:21:30 +08:00 via iPhone
    弱弱的问一句,自签名的证书 == 明文
    为什么 @ryd994
    0TSH60F7J2rVkg8t
        21
    0TSH60F7J2rVkg8t  
       2016-10-09 12:01:14 +08:00
    @yxwzaxns 自签名就是,你自己也可签 ABC ,我也可以签 ABC ,谁都可以签 ABC ,无法验证 ABC 到底是不是 ABC 。所以,自签名的证书很容易受到中间人攻击,如果浏览器还默认不检测证书可靠性,对自签名一概放过,那就神不知鬼不觉 https 降级到 http 了。
    yxwzaxns
        22
    yxwzaxns  
       2016-10-09 12:37:12 +08:00 via iPhone
    @ahhui 这么说,那么自签名只是不能验证 abc 是不是 abc ,但是传输过程的确是加密的吧,
    lhbc
        23
    lhbc  
    OP
       2016-10-09 13:55:41 +08:00
    @yxwzaxns 如果只是一两个人访问,问题不大,自己去核对证书就行。
    但公开的网站,自签证书跟不加密真没太大区别,因为访客无法校验证书的有效性。
    要校验就必须查看所有证书链的指纹并核对,而且证书更新、吊销后,还需要通知到所有人新的证书指纹。
    相当于把 CA 整个链条干的活用人工来干……
    所以,中间人攻击是轻而易举的。熟练应用各种工具的话,只比明文麻烦一点点。
    0TSH60F7J2rVkg8t
        24
    0TSH60F7J2rVkg8t  
       2016-10-09 16:14:55 +08:00
    @yxwzaxns 证书除了验证 ABC 是不是 ABC 之外,还能验证出在通讯的线路中,是否有中间人、窃听者。自签名的证书因为无法验证 ABC 是不是真的 ABC ,也就无法判定通讯中,是否有中间人存在。如果有中间人存在,你通讯的对象就是中间人,那他和你之间的信息交换对他来说就是透明的,然后他拿到你的信息,再和 ABC 通讯,这样的加密还有什么意义呢?数据安全已经不存在了,这和脱了裤子放屁是一样的道理啊。
    horsley
        25
    horsley  
       2016-10-09 16:47:54 +08:00
    @ryd994 我说的不好签不是技术上做不到的意思,是没办法做正规做的意思,例如 ip 的,内网域名之类的,都没办法申请正规证书。
    0TSH60F7J2rVkg8t
        26
    0TSH60F7J2rVkg8t  
       2016-10-09 16:50:46 +08:00
    @horsley 内网和 IP 也应该可以签,并不困难。找国内的 CA ,比如 CNNIC, WoSign ,颁发一个专用的中级证书,然后再分配内网的 IP 和域名,都应该没问题。
    Osk
        27
    Osk  
       2016-10-09 17:06:17 +08:00 via Android
    同意 @ryd994 整个自己的 CA 确实方便很多啊, https ,代码签名证书都可以,安个 ca 证书就行了,又不花钱买证书,可不可以对 ip 地址签发不知道,但可以用内网 dns 解析啊,要求不高连 openwrt 都可以搞定。当然,各部门各整各的 CA 的话当我没说
    Quaintjade
        28
    Quaintjade  
       2016-10-09 17:12:19 +08:00
    @ahhui
    公网 IP 可以签,但你必须"拥有"该 IP 。内网名称或保留段的 IP 不能签,以前签的现在也都吊销了。按照 BR :
    2016 ‐ 10 ‐ 01 7.1.4.2.1 All Certificates with Reserved IP Address or Internal Name must be revoked.

    要签的话,要么自签,要么不用 Public PKI 体系,找国内一些自己玩的 CA 可能可以(比如 CFCA 之类)。用 public root CA 签内网证书,被发现后果就是直接吊销,毕竟 CT 开始普及,以及各浏览器都有监测上报机制。
    0TSH60F7J2rVkg8t
        29
    0TSH60F7J2rVkg8t  
       2016-10-09 18:05:55 +08:00
    @Quaintjade 多谢指教
    yxwzaxns
        30
    yxwzaxns  
       2016-10-09 19:08:46 +08:00
    @ahhui @lhbc 明白了,多谢
    nicevar
        31
    nicevar  
       2016-10-11 11:08:03 +08:00
    @ryd994 拜托,你的理解能力能再提升点么?我说直接用明文了?整个人在自己的思考里面意淫有意思?首先我不反对 https ,只是对 https 不满,流程搞得太复杂,加上利益问题,出现国内这种特殊情况,已经影响到基本用户了,随着时代发展这东西如果被替代很正常。我看到你回复说的费用我就想笑,真的。你知道为什么国内很多企业自制证书甚至让客户端忽略证书的情况么?如果你还没工作或者不涉及到这些,我跟你扯多了没用。另外我没有说 TLS 蠢,我也没有资格说,谢谢
    ryd994
        32
    ryd994  
       2016-10-11 23:34:14 +08:00 via Android
    @nicevar 需要提升的是你。不验证 CA 的 https 谁都可以 mim ,等于明文,上面我已经说过
    至于费用我无话可说,便宜的 5 刀 10 刀一年,贵的 EV 上千上万,免费的 let's encrypt 。哪个不比自签安全?更还有,就算自签,也不应该忽略证书,自己签个 CA ,在客户端上部署自己的 CA ,同时维护吊销列表,你会发现整个一套做下来,还是买个证书便宜。
    nicevar
        33
    nicevar  
       2016-10-12 18:25:19 +08:00
    @ryd994 还买证书呢,真是愣头青啊,都说了有的地盘不让使用购买的证书?现在都有几家大的国企直接忽略证书的,你要是留点心全国的消费品里面都能发现,算了,不跟你多说了,说了半天你都没明白
    xmumiffy
        34
    xmumiffy  
       2016-10-12 18:48:52 +08:00 via Android
    https://www.zhihu.com/question/30031313
    如何看待 360 浏览器为了“用户体验”,在网站证书无效时继续加载网页?
    ryd994
        35
    ryd994  
       2016-10-13 00:35:44 +08:00 via Android
    @nicevar 你的逻辑真有意思:因为国内特色,所以我们应该放弃 TLS
    想起前阵子国密 SM3
    底裤上交国家,最安心
    我觉得挺适合你用
    ryd994
        36
    ryd994  
       2016-10-13 00:38:15 +08:00 via Android
    @nicevar 另外,我大概发现不了,平时不在国内,基本不用国产软件,就算用也是挂代理
    nvidiaAMD980X
        37
    nvidiaAMD980X  
       2016-10-15 08:49:09 +08:00 via Android
    @ryd994 我也是,锅内的大部分软件一律拉黑数字签名。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2831 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 06:01 · PVG 14:01 · LAX 22:01 · JFK 01:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.