免费 wifi，我访问 https 的网站，坏人可以获取到的是 ip 还是我访问的域名？

比如现在 V2EX 已经 https 了

坏人能获取到我的什么信息

Shura

2017-12-21 17:53:30 +08:00

➜ ~ curl https://www.v2ex.com/go/programmer -v
* Trying 162.221.6.251...
* TCP_NODELAY set
* Connected to www.v2ex.com (162.221.6.251) port 443 (#0)
域名 ip 都可以获得，如果网站没开 HSTS 还可以通过 https 降级攻击钓鱼。

noe132

2017-12-21 17:53:57 +08:00

ip。当然通过 ip 反查（如果有）也能获取到你访问的域名其他的都是加密的

find456789

2017-12-21 17:54:54 +08:00

@Shura 这么可怕还可以看到我访问的域名啊

Love4Taylor

2017-12-21 18:07:11 +08:00

目标 IP 和域名, 怕是只能上 TLS 1.3 的 CDN 了

paradoxs

2017-12-21 18:31:03 +08:00

能被看到的是域名，而不是具体的网址，例如你请求本贴，https://www.v2ex.com/t/416620，只能看到你在访问 v2ex.com 。

heiyutian

2017-12-21 18:49:32 +08:00

@paradoxs https 和 http 看到的网址一样吗

oonnnoo

2017-12-21 19:30:35 +08:00

域名是可以看到的，要不然怎么路由。

在连接 https 后，是看不到请求头，请求内容，响应头以及响应内容

oonnnoo

2017-12-21 19:39:32 +08:00

个人观点是：免费 WiFi，有网就蹭，能被看到的信息，运营商也能看到，所经过网络设备都可以看到。

数据在离开自己可控的网络之前不做加密处理，都是一样在裸奔

paradoxs

2017-12-21 19:48:01 +08:00

@heiyutian http 什么都能看到啊，详细的地址，全路径。

morethansean

2017-12-21 20:28:47 +08:00

@heiyutian http 连内容都能看到啊，有什么不理解的吗……

flynaj

2017-12-21 22:33:49 +08:00

https 的证书可以看到，就知道你是访问那个域名，还有你要查询 DNS，也知道你访问什么站但是内容看不到

flyz

2017-12-21 22:36:10 +08:00

蹭免费 wifi 挂一个 ss 加 obfs，自定义到 bilibili，就只能看到自定义的网址了，就是速度有点慢。

t123yh

2017-12-21 22:50:45 +08:00

@Shura 请教 https 怎么降级攻击。我只知道在 http 重定向至 https 的过程中可以降级攻击，请问纯 https 怎么降级攻击？

zingl

2017-12-21 23:02:32 +08:00

看看运营商的上网明细就知道他们（至少）能看到什么了

xmcp

2017-12-22 12:45:20 +08:00

CONNECT 的头应该有 Host 吧？那就能获得域名。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/416620

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.