用梯子的时候，用户的 cookie 是不是完全暴露给梯子铺了？

不管中间怎么加密，梯子收到加密数据后，总得解密后才能发送到网站服务器吧，也就是梯子可以拿到明文的用户的网站请求包，也许拿不到 md5 解密的密码，但拿到 cookie ，效果也是一样的，已经可以直接用用户的 id 登录网站了，不知我说得对不对？另外，如果是用户用梯子访问 https 网站，比如邮箱之类的，梯子铺老板能盗用 cookie 登录不？

ahhui

2016-10-29 23:20:55 +08:00

http 可拿 cookie ，可直接用 cookie 登录你的账号。如果登录表单是明文 post 的，还能拿到你的账号和 /或密码。
https 正常情况下拿不到你的 cookie ，也得不到密码。非正常情况，如本机梯子安装了证书，可中间人劫持，或降级攻击，还是能拿到你的数据。

20150517

2016-10-29 23:46:25 +08:00

我做了一个 shadowsocks 的改造版,可以读你 http 上的 cookies,并 log 在文件里.....哈哈

lisonfan

2016-10-29 23:47:55 +08:00

所以自己搭梯子，美国的服务器便宜的多的是，几十块人名币一年

txlty

2016-10-29 23:58:48 +08:00

这是常识吧？理解网络安全基本概念的人都应该知道的。
不怕慢可以加一层 tor ，梯子就什么都读不出来了。不过 tor 出口节点一样能抓到 http 的 cookie

amb

2016-10-30 00:08:08 +08:00

为什么子本地用 http 工具比如 Http Analyzer ，我能看到 https 的 cookie 呢？

murmur

2016-10-30 00:16:16 +08:00

cookies 一般是不校验地理位置的一是国内 IP 乱 jb 分二是考虑移动用户
但是好一点的系统在地理位置异常的时候都会锁定账号或者出二次认证
@amb 你信任了你自己的证书或者像 fiddler 这种插在某个地方搞事。。

MrFireAwayH

2016-10-30 00:29:41 +08:00

@murmur 话说我最近研究 fiddler 抓安卓 https 装了它的证书可是还是会出现 "有安全问题是否继续"类似的对话框有什么好办法么？

murmur

2016-10-30 00:30:48 +08:00

@MrFireAwayH 直接访问你的代理用浏览器有一个链接可以下载证书下载完信任了就好了

txlty

2016-10-30 00:33:13 +08:00

@amb 数据是在本机进行加密发出去的。本机的软件，设法去获取加密前的数据就 ok 了。

MrFireAwayH

2016-10-30 00:36:09 +08:00

@murmur 证书是自动装在安卓的 "用户" tab 里面的并且标题是 DO Not Trust Fiddler CA 类似字样(我感觉这个名字是 fiddler 给我起的)

xgfan

2016-10-30 01:39:33 +08:00

@MrFireAwayH 如果你是浏览器访问，可能是因为 fiddler 生成的假证书有效期太长了。

helloccav

2016-10-30 02:15:51 +08:00

@lisonfan 请允许我将问题升级一下：假如我买了月饼家的 VPS ，在上面架了一个梯子，马老板不知道我的 VPS 的 ROOT 密码，但他能控制整个月饼云系统，那么马老板可以拿到明文的用户的网站请求包吗？

lightening

2016-10-30 03:16:42 +08:00

看网站实现。比如 Rails 的网站 cookie 都是 web 服务器端加密的，用户自己也看不见、不能改。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/316500

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.