V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
benmaowang
V2EX  ›  问与答

用别人的 ss、ssh、vpn 等服务访问 https 安全吗?

  •  
  •   benmaowang · 2014-12-13 23:31:23 +08:00 · 18488 次点击
    这是一个创建于 3668 天前的主题,其中的信息可能已经有所发展或是发生改变。
    会不会被中间人攻击?
    12 条回复    2014-12-14 18:48:59 +08:00
    nothingatall
        1
    nothingatall  
       2014-12-14 00:16:12 +08:00 via Android
    可以,但不一定会去做。
    jkjoke
        2
    jkjoke  
       2014-12-14 00:25:52 +08:00
    有这个可能,根据墨菲定律,这件事情总会发生。
    aliuwr
        3
    aliuwr  
       2014-12-14 00:31:38 +08:00 via Android
    如果是通过 socks 方式访问代理,那么就是安全的。
    HTTPS 加密解密是在浏览器与服务器中完成,经过中间节点的流量都是加密的。
    例外情况是利用 HTTPS 协议中的漏洞,比如前段时间 SSL 3.0 就爆出了漏洞。但是这种漏洞是通用形的,和是否使用代理服务并没有直接关联。
    hjc4869
        4
    hjc4869  
       2014-12-14 00:33:57 +08:00 via iPhone
    如果是IKEv2这类用证书的VPN,并且提供者是自签的,要求你导入到Trusted Root Certificates,那么就是可以劫持你的HTTPS的。
    除此之外,个人防范不当也可能导致HTTPS没用,这个就没啥多说的了。
    xifangczy
        5
    xifangczy  
       2014-12-14 01:04:31 +08:00
    以前就有一篇利用GoAgent的证书进行中间人攻击的例子.... 是的,艹艹哒 这样的方法都有。所以不管你是不是https 经过了别人的服务器就要承担一定的风险。只是技术难度和愿不愿意做而已。
    lhbc
        6
    lhbc  
       2014-12-14 01:26:05 +08:00
    1、确保没有导入那种公开的证书到Trusted Root Certificates,比如@xifangczy 提到的GoAgent证书
    2、出现证书错误必须中止访问
    3、确保你访问的网站的域名是正确的,而且是https
    比如你访问 http://www.alipay.com ,这个域名是302到 https 的。但中间可能被劫持,没有返回302给你,劫持者使用反向代理获取你的信息;也可以修改302的信息,把你转到 https://www.alipay.com.xx.net/
    4、有些网站安全性做的不够,没有给cookies加上 secure,你下次访问这个网站的http页面,cookies可以被盗取。所以对于https的网站,不要去访问http
    5、SSLv3的漏洞,最近的TLSv1.2的漏洞,这可以在浏览器进行防护

    如果做到上述5点,基本是不会有问题的
    lhbc
        7
    lhbc  
       2014-12-14 01:37:21 +08:00
    @lhbc 补充两点:
    1、对于来历不明的代理、VPN,最好不要用
    要用就花钱买,必须有个稳定的网站,有公开的支付途径,这样对方对劫持攻击还是会比较谨慎
    一个来历不明的帖子,一个来历不明的网站发的,能不用则不用

    2、另外建议采用那些非全局的代理、VPN方式
    大家都用这些代理、VPN主要是翻墙,银行、第三方支付不走这些代理、VPN,安全性略高
    ZMOM1031
        8
    ZMOM1031  
       2014-12-14 02:09:50 +08:00
    @jkjoke 根据墨菲定律 说了=没说
    SharkIng
        9
    SharkIng  
       2014-12-14 06:14:37 +08:00
    又译为墨菲定律、莫非定律,具體內容是「凡是可能出錯的事必定會出錯」,指的是任何一個事件,只要具有大於零的機率,就不能夠假設它不會發生。

    在科學和演算法方面,它與英文所謂的「worst-case scenario(最劣情形)」同義,數學上用大O符號來表示。
    http://zh.wikipedia.org/wiki/%E6%91%A9%E8%8F%B2%E5%AE%9A%E7%90%86
    benmaowang
        10
    benmaowang  
    OP
       2014-12-14 07:50:32 +08:00
    @lhbc 那怎么检查证书是否可信呢?我打开钥匙串,看到系统根证书里有200多项,CNNIC之类的都在,也不知道什么时候导进去的。
    SakagamiJun
        11
    SakagamiJun  
       2014-12-14 11:14:28 +08:00
    @xifangczy 您需要仔细的去看看那篇文章,了解下为什么会发生中间人攻击再进行安全性的讨论

    我以为,对于普通用户,最大的不安全,是他们错误的使用习惯,设置

    技术比用户安全不要太多。。你告诉别人银行卡密码,自己给别人转账,别赖银行系统不安全。


    @benmaowang

    在您电脑预装的证书,都是可信的,有无数的眼睛盯着监督,确保这套覆盖绝大多数电脑的证书系统的安全性

    您可能需要怀疑的,是第三方,后来导入的证书,诸如,铁道部要求导入的。每个人电脑均不相同,请自行了解。

    当然你可以以个人缘故不相信某个预装证书,如CNNIC,请自行设置不信任就好

    ps:以上三个服务,https内的内容,对个人用户来说,都是能够保障安全的
    如果您并非普通个人用户
    那么只有一句话,没有绝对的安全,一切只是成本问题,不光指技术方面
    还有比一切都更脆弱的,人类的关系和社会
    不要在家里安装水表
    lhbc
        12
    lhbc  
       2014-12-14 18:48:59 +08:00
    @benmaowang 可以手工检查
    也有工具可以检查系统证书
    另外:Firefox是使用自带的证书系统,不依赖操作系统
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   936 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 22:40 · PVG 06:40 · LAX 14:40 · JFK 17:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.