在保证浏览的网页使用了 https 的情况下，我是否就不需要去担心钓鱼 wifi 的抓包以及公共 wifi 的中间人攻击了？

emm，qq 微信这一类就暂且不去管，咱只说网站。现在如果连上钓鱼 wifi，或者公众场合的 wifi 被人 MITM 攻击的话，还有可能被抓到帐号密码或者 cookie 吗？一些使用 https 的网站如果没有上 HSTS，还是有可能会被 SSLstrip 的吧？那如果是上了 HSTS，是否就可以说任何的抓包分析都无法攻破了呢？这个问题一直想问..小白问题，求大佬轻喷

Maxwell272

2017-12-19 22:00:52 +08:00

https://zhuanlan.zhihu.com/p/32153145
刚问完，就发现了一篇文章...也就是说到目前为止，除了这种办法，其他的手段都对 HSTS 束手无策吗？

shoaly

2017-12-19 22:04:03 +08:00

理论上你还得熟悉你要访问的网站的证书是谁颁发的...
因为中间人攻击的话, 他是可以伪造证书的, 一方面你的浏览器能够识别大多数伪造的证书, 但是不能 100%

Maxwell272

2017-12-19 22:13:06 +08:00

@shoaly 谢谢。换言之，如果是一个个人攻击者通过伪造证书的方式来进行中间人攻击，在现今的浏览器面前，几乎都是无效的吧？

just1

2017-12-19 22:33:38 +08:00

如果攻击者有能力获得信任 ca 颁发的证书是可以的。但是成本太高了。不过我想，cia 可能有办法（我随便说说的）。

miyuki

2017-12-20 01:12:17 +08:00

一般情况下，是没问题的

特殊情况是: 信任的 CA 干坏事签发证书用于 MITM

normanzb

2017-12-20 03:40:31 +08:00

感觉这事国内的情况不太一样。记得之前 12306 火车票网站没有安全证书，于是直接生产了个证书要求用户下载安装，结果还把根证书的下载给开放出来了，这个网站的用户几乎遍布全国了，想象一下坏人拿了这个根证书，生成劫持网站的证书，再做 mitm 攻击，多么可怕。

另外去年 startssl 网站办法的免费证书被 chrome 和 firefox 禁用了，理由是这家 startssl，被国内一家公司购买了，而国内这家公司曾经颁发过 github 证书未授权用户，当时有许多用户反映访问 github 时发现证书颁发机构变成国内公司了。这至少说明两个问题：一、国内这些证书办法机构很可能守不了规矩。二、Edge 和 safari 还没屏蔽 startssl。

vefawn1

2017-12-20 05:12:37 +08:00

@normanzb 为什么几乎所有中国证书颁发公司都那么流氓？

WuwuGin

2017-12-20 05:17:13 +08:00

@vefawn1 能把根域名服务器给投毒的地方还有什么不能做出来。

intheplants

2017-12-20 09:28:49 +08:00

当年 cnnic 还给某埃及公司颁发过 Gmail 的证书，被发现后就被所有主流浏览器封杀了

WillTimeCondense

2017-12-20 11:07:07 +08:00

@normanzb 根证书也开放下载？ mdzz

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/416114

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.