V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
heiher
V2EX  ›  信息安全

部分 HTTPS 无任何意义

  •  2
     
  •   heiher · 2014-06-16 09:44:28 +08:00 · 6587 次点击
    这是一个创建于 3848 天前的主题,其中的信息可能已经有所发展或是发生改变。
    就像 WebQQ 登录认证用 HTTPS,其它使用 HTTP (包含JS),只要劫持篡改了其中一个关键的 JS,就可以获取到页面上用户输入的QQ号和密码了(甚至还能知道用户先输入号码还是密码),之后至于向哪发送完全随意。
    28 条回复    2014-06-18 17:04:02 +08:00
    jsonline
        1
    jsonline  
       2014-06-16 09:50:24 +08:00   ❤️ 1
    是哒,所谓半吊子说的就是这种情况。
    dong3580
        2
    dong3580  
       2014-06-16 09:53:13 +08:00
    我觉得这个问题类似于,你把你当前的浏览器登录的某个论坛cookie中的userid改为别人的,然后你刷新看看是不是进入了别人的账户了。
    treo
        3
    treo  
       2014-06-16 10:13:55 +08:00
    类似的,登陆时JS加密用户密码再发送也没什么意义
    treo
        4
    treo  
       2014-06-16 10:16:04 +08:00
    Javascript Cryptography Considered Harmful
    http://matasano.com/articles/javascript-cryptography/
    lichao
        5
    lichao  
       2014-06-16 10:38:57 +08:00
    类似的,页面本身是走 HTTP,登录时 Ajax(JSONP) 走 HTTPS 也是无意义的
    est
        6
    est  
       2014-06-16 10:43:33 +08:00   ❤️ 1
    > 只要劫持篡改了其中一个关键的 JS

    如果都可以劫持了,自己搭个https服务器不是照样可以插入js?
    lichao
        7
    lichao  
       2014-06-16 10:47:22 +08:00
    @est 你自己搭的,浏览器会报警的报么!
    est
        8
    est  
       2014-06-16 10:49:01 +08:00
    @lichao 连CA一锅端了呢?
    lichao
        9
    lichao  
       2014-06-16 10:51:38 +08:00
    @est 那可能性。。。
    dndx
        10
    dndx  
       2014-06-16 10:55:28 +08:00
    @est 他的意思是说如果资源不走 SSL,中间人就可以直接替换资源,根本没 SSL 的事。
    est
        11
    est  
       2014-06-16 11:11:39 +08:00
    @dndx 这个说的是对的。混杂https,等于没有https。攻击门槛比较低。

    不过,如果能中间人,怎么都不安全啊。side channel 太多。除非你是个hsts pin狂。
    dndx
        12
    dndx  
       2014-06-16 11:15:15 +08:00
    @est SSL 重要的功能之一就是身份认证,中间人不替换证书啥也看不懂,替换证书了浏览器会直接报警。

    如果强制 SSL,中间人最多也就是阻断通讯,但是还是无法获得你的信息,总比被嗅探了要好。
    est
        13
    est  
       2014-06-16 11:39:44 +08:00
    @dndx 理论是这样,大家都知道。但是你去看n年前sohu mail那个https中间人。。。。@奶罩 搞的。

    如果要搞你,肯定是搞你的短板。ssl 长板再长无法弥补短板。PKI 的短板多了去了。。。。
    dndx
        14
    dndx  
       2014-06-16 11:43:20 +08:00
    @est Sohu 这种攻击想成功,前提条件太多,在大多数情况下不具可操作性。

    不管怎么说,在现在这种互联网环境下,SSL 还是最有效的防御方式。
    phyng
        15
    phyng  
       2014-06-16 12:25:09 +08:00
    @dndx 东南大学?
    heiher
        16
    heiher  
    OP
       2014-06-16 13:03:54 +08:00
    @est 没有证书无法做有效的中间人攻击。
    sdysj
        17
    sdysj  
       2014-06-16 13:07:55 +08:00
    很明显啊,只有天朝才那么多半https网站,原因嘛,public security啊哈哈
    iannil
        18
    iannil  
       2014-06-16 14:18:42 +08:00
    58的登录就伪https,使用js加密用户名密码的方式登录,无实际意义。
    tabris17
        19
    tabris17  
       2014-06-16 16:42:44 +08:00
    增加难度而已
    20150517
        20
    20150517  
       2014-06-16 19:02:51 +08:00 via Android
    等一下,你js是http但放在https,连ie都会报警的啊,说有些内容没有加密什么,你自己确认是你自己问题,你可以选择不登录
    heiher
        21
    heiher  
    OP
       2014-06-16 20:50:07 +08:00
    @20150517 说的是页面主要是 HTTP 的,而有部分被认为是重要的传输是 HTTPS 的。
    alexapollo
        22
    alexapollo  
       2014-06-16 20:53:28 +08:00
    很早之前有碰到过这个报警,原来是这个意思
    dorentus
        23
    dorentus  
       2014-06-16 21:18:14 +08:00
    其实中间人攻击有些情况下还是比较容易出现的。

    ISP 自己搞的插广告的就不说了,比如公共 wifi 热点,没有隔离措施,同网络里的人搞个 arp 欺骗,应该就可以把使用 http 的关键的 js 劫持到自己那里了,然后不管是捕获用户在当前页面的输入、还是模拟用户行为发点内容,都随意了……

    对用户来说,只是浏览器有提示页面上有没加密的资源(但是只是警告,又不会像证书不对那样直接阻止),基本没啥意义。是,警觉的用户可能会选择不登录,但是你这站点又没有提供其它安全的登录方式……于是就只能回家才敢登录了么?……
    lightening
        24
    lightening  
       2014-06-16 22:10:57 +08:00
    Web QQ 不是全站 HTTP 嘛,哪有什么 HTTPS?
    20150517
        25
    20150517  
       2014-06-16 22:46:45 +08:00 via Android
    @heiher 不是吧?webqq页面是http然后部分https?那也无语了
    xierch
        26
    xierch  
       2014-06-17 00:12:34 +08:00
    登录页整页 HTTPS 还好些,只是每次登录时需要用户注意一下,密码不会泄漏的不过 cookies 还是保护不了..
    支付宝全站 HTTPS。不过 HTTP 转 HTTPS 用 301 可能更好一些,301 浏览器会缓存。
    淘宝就很随便了,只有(部分?)登录页面是 HTTPS..

    支付宝绑定淘宝 Considered Harmful(
    jakwings
        27
    jakwings  
       2014-06-17 07:03:01 +08:00
    至少可以防止 ISP 偷偷插广告。
    julyclyde
        28
    julyclyde  
       2014-06-18 17:04:02 +08:00
    页面https、元素http,浏览器会报警的吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   987 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 19:58 · PVG 03:58 · LAX 11:58 · JFK 14:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.