浏览器上看到建立了 HTTPS 连接,能说明传输的所有内容是安全的吗?

2014-10-03 21:56:50 +08:00
 lightening
主要是看到这个讨论,http://www.v2ex.com/t/136893

有一种观点是只要建立了 HTTPS 链接,就是牢不可破的。问题是黑客可以阻止 HTTPS 连接的建立。那么如果我已经看到浏览器报告建立了 HTTPS 连接,是否可以保证传输的信息是可靠的呢?

假设:
1)用户的操作系统没有被植入木马
2)用户浏览器信任的证书没有问题

=====
我的一些疑问:
1)DNS 劫持是否可能导致建立的 HTTPS 是用户和钓鱼站点之间的连接?
2)即使是使用自己的 Wifi,在公网被 DNS 投毒也不是不可能。如何保证 HTTPS 连接的可靠性?
4158 次点击
所在节点    问与答
13 条回复
wb14123
2014-10-03 22:18:44 +08:00
国内很多https其实是不验证证书的,就是说有可能dns劫持
dangge
2014-10-03 22:22:17 +08:00
如果不全程https 安全就毫无意义。
在公网被DNS投毒这个不了解。。。不过这种事情一年都难出现一次。
lightening
2014-10-03 22:27:00 +08:00
@dangge 这种事情不是每天都在发生吗……
@wb14123 不验证证书如何能建立 HTTPS 连接呢?浏览器会检查的啊,不然给警告。我自己的网站证书忘了续费浏览时就会警告。
dangge
2014-10-03 22:30:03 +08:00
@lightening 所以说国内除了少数的一些全程Https的网站可以说是安全外 别的Https就是起一个拉低加载速度的作用。。。。
9hills
2014-10-03 22:31:06 +08:00
全程HTTPS,本机无问题。就可以认为是安全的。
什么DNS、HTTP劫持都搞不定HTTPS
zxc111
2014-10-03 22:31:57 +08:00
打开证书信息,上面行写着“
保证远程计算机的身份,
向远程计算机证明您的身份

除非劫持的服务器端证书和真正网站的服务器端证书一直,不然浏览器直接就提示证书不被信任
raincious
2014-10-03 22:35:10 +08:00
不能。这涉及到服务器策略,比如同源策略等等以及引用的外部服务是否安全。

简单来说SSL只是让你能够加密的传输数据,但是不保证有不合法的代码混入安全环境。

比如如果站点本身就有XSS风险,那么HTTPS无能完全避免这个风险(虽然浏览器会拒绝加载部分资源,但是绕过也是有可能的)。

所以,就这个例子,还是相信@yuange1975说的。“安全”其实在某些方面意义上==“没有侥幸心理”
zzNucker
2014-10-03 22:40:19 +08:00
明显不行,还有证书的问题。
zzNucker
2014-10-03 22:45:11 +08:00
/诶,无视我。没看到假设2/
DreaMQ
2014-10-03 23:00:46 +08:00
钓鱼网站还是有可能的
不过地址栏上的地址肯定与真正的网站不同(有多不同那就很难说了)
julyclyde
2014-10-04 09:58:53 +08:00
@wb14123 啊?什么叫国内不验证证书?
virusdefender
2014-10-04 11:42:36 +08:00
很多安卓app绕过系统安全的api自己去实现了一套机制 根本不验证域名/证书等
tangzx
2014-10-04 13:58:43 +08:00
不一定可信,比如如果某个网站服务器证书被泄漏,则它会被 MITM,或者某个上游 CA 证书泄漏(盗取、政府),或者是 NSA 动用了传说中的 DES 盒子……噗,还是会被 MITM

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/136942

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX