V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Borden
V2EX  ›  分享发现

https 被攻破了?这也太耸人听闻了,谁给看看,感觉是瞎扯

  •  
  •   Borden · 2016-12-16 20:32:23 +08:00 · 3621 次点击
    这是一个创建于 2923 天前的主题,其中的信息可能已经有所发展或是发生改变。
    恶性病毒首次攻破 HTTPS 防线 劫持搜索引擎流量牟利
    http://finance.ifeng.com/a/20161216/15082802_0.shtml
    15 条回复    2016-12-18 13:01:04 +08:00
    molinxx
        1
    molinxx  
       2016-12-16 20:37:16 +08:00 via Android   ❤️ 1
    满满的广告
    文章发布人:智能抓取
    wevsty
        2
    wevsty  
       2016-12-16 20:41:14 +08:00
    只是劫持了 https 链接而已
    qgy18
        3
    qgy18  
       2016-12-16 20:46:53 +08:00   ❤️ 1
    我之前写过一篇《三种解密 HTTPS 流量的方法介绍》。
    https://imququ.com/post/how-to-decrypt-https.html

    我在文章最后写到:如果浏览器被安装恶意扩展,即使访问安全的 HTTPS 网站,提交的数据一样可以被截获。这种客户端被攻击者控制引发的安全问题,无法通过 HTTPS 来解决。

    这里描述的就是这种情况,病毒入侵到浏览器端,当然是想干嘛就干嘛。
    9hills
        4
    9hills  
       2016-12-16 20:50:54 +08:00 via iPhone
    有机器控制权,怎么都能破, HTTPS 插一个 ca 就好了

    有什么耸人听闻的
    weyou
        5
    weyou  
       2016-12-16 21:06:11 +08:00 via Android
    确实耸人听闻,让人感觉是 https 的协议被公破一样。其实相当于木马而已,能控制机器什么样的加密都无济于事。
    0TSH60F7J2rVkg8t
        6
    0TSH60F7J2rVkg8t  
       2016-12-16 21:10:19 +08:00 via iPhone
    标题党+瞎扯。都入侵到机器里装驱动了,还有什么不能干的?而且截图里浏览器的 https 还是红的,这如果不是自己点的忽略和继续的话,那浏览器也该扔了。
    momi
        7
    momi  
       2016-12-16 21:15:12 +08:00
    只要不是被中间人攻破就没什么大问题,客户端的安全,得靠用户自己去把握。
    zander
        8
    zander  
       2016-12-16 21:17:52 +08:00
    被人物理接触机器,乃至只是木马操作,和主动告诉别人也都没什么区别了吧。
    tSQghkfhTtQt9mtd
        9
    tSQghkfhTtQt9mtd  
       2016-12-16 22:35:49 +08:00
    HPKP 用户表示不懂你们在谈论什么
    popu111
        10
    popu111  
       2016-12-16 22:37:01 +08:00
    @ahhui 重点不是入侵,是流氓软件吧。。。
    lhbc
        11
    lhbc  
       2016-12-16 22:51:18 +08:00 via iPhone
    如果 HTTPS 配置没有漏洞,真能攻破的话,可以发 n 篇顶级论文。
    下次再看到类似新闻,想下上面这句,就知道咋回事了。
    nfroot
        12
    nfroot  
       2016-12-17 09:24:10 +08:00
    大米饭可以安全食用啦啦啦啦!!!!!!!!!!!!

    如果控制了你的饭碗,往里面投毒,会不会死?剂量够的话会的。

    大米饭不安全啦!!!!!!!!

    这类问题看着就无语。送你四个字,HSTS ,问题全解决,保证无劫持。
    phrack
        13
    phrack  
       2016-12-17 11:13:02 +08:00
    都懒得点进去看也知道写的啥。

    想说的是,以前做木马做病毒的,现在学乖了,现在做正规产品了,产品里附加上以前的木马病毒功能,搬到台面上来搜集你信息,控制你浏览的信息。
    libook
        14
    libook  
       2016-12-17 21:24:28 +08:00
    数学上来讲,目前 HTTPS 本身还是完全安全的。
    不安全风险是与 HTTPS 本身无关的,比如中间人攻击。
    wdlth
        15
    wdlth  
       2016-12-18 13:01:04 +08:00
    前几天我爸不知道安装了什么软件,加了个根证书进去,把百度给劫持了,可惜是 SHA-1 证书,被打叉了……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3262 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 11:46 · PVG 19:46 · LAX 03:46 · JFK 06:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.