关于“蹭免费 wifi 有没有风险”的争论，@奥卡姆剃刀 和@yuange1975 谁说的更有道理一些？

不知道网银的安全性能 但是我知道像中国移动的CMCC 做个假热点来钓账号密码并不难。。。。
别问我怎么知道的！

不是很懂，不过用免费WiFi挂着vpn应该比较安全吧？

没什么好讨论，袁哥是对的。

奥卡姆剃刀质疑的精神值得称赞，说得很多话也有道理，但是他毕竟不是搞安全这一行的，很多东西还是不懂。他对https的理解也有偏差，以为https加密是坚不可破的。余弦和tk教主也已经大致表明了态度。
另外，按袁哥的水平，国内有资格在技术上挑战他的没几个人。

凡是没从国外传入，而是国内媒体首创的警告，都值得怀疑。 好黑……

奥卡姆剃刀多次在自己毫不了解的领域大放厥词，而且如果有人跟他讲道理他往往是纯喷，最擅长的就是链接中的这一招，比方舟子还要弱100倍

@mornlight 挺想看看高手实际如何操作的，但是袁哥拒绝了，略失望

蹭wifi的时候时时刻刻记住挂ipsec就行了。

@whilgeek http://weibo.com/p/1005051401527553/weibo?profile_ftype=1&key_word=https&is_search=1#_0

攻击https一般不是用直接解密这种手段

WiFi流量劫持：网站JS脚本缓存投毒！长期控制！浏览任意页面即可中毒！
http://lcx.cc/?i=4426

@gamexg 说的正是我想发的，短期取得各种包还不是问题，长期控制才是最危险的

@mornlight @gamexg 大赞！稍后仔细看看

js污染 淘宝也能搞定

@mornlight 难道验证证书指纹也可能被劫持？ 求教 我不懂这个

最早是09年的一篇文章 很详细
关键词就是 js缓存投毒

就算真的是公共部门开的 Wi-Fi，也有 MITM 的风险（ARP 劫持）

@typcn http–投毒-登陆失败
而正常是http-https-登陆成功

@typcn 谈到中间人攻击大家都会想到https，而实际上已经有一个东西叫SSLStrip
另外，你也可以看看这个http://weibo.com/2404835845/BpPKxnbcn

蹭公共wifi有个很大的风险来源是有不少人与你在同一个局域网里了，这种环境和你自己在家里接入可信的私有wifi不一样。

@mornlight SSLStrip并没有破解SSL，而是利用人的安全意识薄弱，将HTTPS变成HTTP。只要用户能懂得访问安全网站的时候识别HTTPS（包括安全锁头标识），就能防范这种攻击。

那么多页的讨论中间还有贼多的纯喷，谁有空看完，求 TLDR

@alexyangjie SSL加密理论上不能破解，这个目前是没有问题的。但是原博认为网银是用的https所以肯定是安全的，拿不到密码，就不对了。即使浏览器显示是安全的https，仍然有手段拿到数据。