玩了一下 TCP 会话劫持，HTTP 太不安全了

今天也玩了一下TCP会话劫持，很容易就能在百度搜索结果中插入了一条自己的结果，当然也可以调整原来的搜索结果的排序啦。还玩了一下将某个登录页面中用户名和密码额外POST一份到自己的服务器上。在被劫持的后觉得真的只要想得到就能做的到的。

现在觉得某些 ISP 仅是向用户展示一些广告啥的已经很善良了。

Actrace

2014-06-23 11:58:54 +08:00

《计算机信息网络国际联网安全保护管理办法（公安部令第33号）》
请注意,是国际联网.

ayang23

2014-06-23 12:25:11 +08:00

@heiher 听说移动员工就靠倒卖用户信息和手机号发财，ISP可能不去卖，但ISP也是人在管理啊

davidjqq19

2014-06-23 12:33:00 +08:00

用https就好了

sanddudu

2014-06-23 12:37:41 +08:00

@akfish 本身你不接受他们的行为，还享受他们的服务，是自己找罪受？
所以你不接受本身就不要注册 / 安装
另外如果你同意的是 EULA ，那你只是被授权使用软件，开发商随时可以收回使用权

只是说明不是流氓网站 / 软件才会要求注册必须同意协议内容
不过没做的那么绝，不会不同意就真的收回你的账号

shuax

2014-06-23 12:40:21 +08:00

玩了一下菜刀，生命太不安全了。

xingxiucun

2014-06-23 12:43:36 +08:00

idc要做安全审计的一般都是对出入的流量镜像一份然后做审查。。。。不只http

akfish

2014-06-23 13:17:46 +08:00

@sanddudu 有种条款叫做霸王条款，有种选择叫做没有选择，在天朝这很奇怪么

LetFoxRun

2014-06-23 13:20:12 +08:00

怎么玩的，大神可否写篇博客或者简单的介绍，谢谢。

Admstor

2014-06-23 13:53:05 +08:00

ISP一般也就插插广告,以及根据有关部门的要求屏蔽一些网站而已了

最有安全隐患的是公共wifi...
我现在在外面不熟悉的地方,宁愿用自己龟速的EDGE也不用wifi了

kqz901002

2014-06-23 13:56:54 +08:00

@doskoi gfw的确在犯罪啊

heiher

2014-06-23 13:57:37 +08:00

@LetFoxRun 这个技术上的门槛太低了，Google 一下一大把的。

heiher

2014-06-23 13:58:08 +08:00

@Admstor 免费WIFI用呀，全局代理到自己的VPS上。

ioth

2014-06-23 14:44:46 +08:00

@kqz901002 天朝zf不承认存在这个东西。

a2z

2014-06-23 14:51:50 +08:00

http://www.williamlong.info/archives/3658.html

heiher

2014-06-23 15:01:56 +08:00

@a2z 这就是我之前说的部分HTTP是没有意义的，也有人说使用JS实现的密码加密并不是合适的方法。

Admstor

2014-06-23 15:15:54 +08:00

@heiher 并没有自己的VPS...

Mutoo

2014-06-23 22:13:26 +08:00

@LetFoxRun @chijiao 科普： http://fex.baidu.com/blog/2014/04/traffic-hijack/

latyas

2014-06-27 09:21:58 +08:00

一直通过自己的vps走443..

tianruoqiwo

2014-10-23 18:11:48 +08:00

@heiher 你的演示视频挂掉了··要不分享到百度云上吧

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/119011

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.