以前感觉 HTTPS 很安全，现在有一点点改变看法了。

HTTPS 安全是因为有 SSL 加密，网管直接抓包是看不到具体内容的。

但是，我发现 chrome 会把很安全的 SSL 密钥导出到明文，仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE)，就能轻易做到！

这意味着，公司网管只要在我机器上简简单单配置一个环境变量，我电脑上 chrome 浏览的所有网站，用户密码，他都能直接看到。并且 chrome 浏览器毫无风险提示信息，让人非常没有安全感。

idontnowhat2say

2023-03-09 14:16:40 +08:00

https 是个通信协议，跟你本地安全不安全和这个有啥关系，你能都在 client 端操作了，基本就是所见即所得。导出 SSLKEYLOGFILE 只不过是 ssl 库的一个方便本地抓包调试的特性罢了。你认真说的话，在客户端那没啥安全的了，就算没有 SSLKEYLOGFILE 也能有 100 种方法获取到你的通信内容，用 epbf hook 系统调用，一切皆可见。

Helsing

2023-03-09 14:17:27 +08:00

翻完帖子才明白楼主说的是 https 中的协商出来的对称加密密钥可以导出来

感觉楼主确实没太理解 https ，https 安全的前提是设备必须安全可信，没有这个前提，哪来的安全

你提的问题只能表明 Chrome 不安全，而不是 https 不安全

另外，苹果手机加密，如果加密过程中也像 Chrome 能导出密钥或者留有后门什么的，一样也是不安全的，并不存在什么绝对安全……

Helsing

2023-03-09 14:20:48 +08:00

@Seanfuck #37 我知道啊，所以我很好奇 https 怎么到 CDN 就透明了，这不是很离谱吗

leoleoleo

2023-03-09 14:24:24 +08:00

ssl 或者 tls 那是保证传输层面安全的技术啊，本地系统层面有问题，数据还没发出去就被拿走了，这能怪传输层面的安全技术吗。一旦系统层面不安全了，浏览器啥机制都不顶用啊，不管数据存在硬盘还是内存，一样能读取呀，23 楼 op 还在说存储机制和随机数的事，大哥了解一下 ssl 技术，随机值和协商出来的加密密钥都是一次性的，每一次通信完成后就没用了，这一点上你存在内存和存在硬盘上有什么区别啊。

yolee599

2023-03-09 14:24:50 +08:00

SSL 可以保证“传输过程中”的安全，数据包已经到了你的电脑，那这个数据包已经不归 SSL 管了。就像运钞车，钱已经运到了银行，并且交到了银行手上，在银行被别人持枪抢劫了是不归运钞车管的。

Helsing

2023-03-09 14:26:05 +08:00

@idontnowhat2say #39 看了一下 CDN 的原理，确实如此

newmlp

2023-03-09 14:37:50 +08:00

chrome:别人都能改你环境变量，读你本地文件了，你告诉我没保障你的安全？

tool2d

2023-03-09 14:43:31 +08:00

@leoleoleo "大哥了解一下 ssl 技术，随机值和协商出来的加密密钥都是一次性的，每一次通信完成后就没用了，这一点上你存在内存和存在硬盘上有什么区别啊。"

是一次性的，所以 chrome 把每一次通讯的 ssl 密钥都保存下来了。你客户端发起了 100 次请求，chrome 就老老实实保存 100 份密钥。以确保网管在出口网关上，抓取的所有加密数据包，都能正确解密。

CatCode

2023-03-09 14:50:10 +08:00

你给 Chrome 启动套个娃呗，整个脚本启动 Chrome 前先把 SSLKEYLOGFILE 变量设为空，不就行了吗

AA5DE3F034ACCB9E

2023-03-09 14:52:11 +08:00

我觉得 OP 讲得有道理，我对 HTTPS 了解不多，但如果提供容易获取 SSL Key 的方式，我觉得不应该，稍微加点门槛都好过随便获取吧

yannxia

2023-03-09 14:58:05 +08:00

@AA5DE3F034ACCB9E 和 Chrome 有关系，和 HTTPS 有啥关系呢，Chrome 提供一个方便 Debug 的功能，你别开呗，但是你电脑被控制了，开了这个功能，但是主要问题是你的电脑被控制，就算 chrome 没提供这个功能也有其他办法搞定。

geelaw

2023-03-09 15:06:33 +08:00

不太确定 OP 在期待什么。公司的电脑是公司控制的，公司可以不间断查看你的内存，那么 Chrome 记录不记录也没什么区别，你能做的就是不使用公司电脑做不能让公司知道的事情。

mrhhsg

2023-03-09 15:17:26 +08:00

以前感觉飞机很安全，最近有一次我下了飞机扫了个共享单车骑回家居然摔了一跤。。。仅需要一辆共享单车就能引起飞机乘客的受伤，让人非常没有安全感

byte10

2023-03-09 15:18:51 +08:00

@tool2d 我也是醉了，跟你导出 ssl 有啥关系。网管直接让你安装信任根证书就完事啦。思维还是没转过来。

之前还有一个同事说，浏览器的 cookie 被别人的导出去怎么办? 账号岂不是被别人登录上啦？你电脑都没有设置高强度密码，肯定会被偷看到啦。所以现在很多都是指纹解锁。很多支付都要二次确认。

太多这样无逻辑的担忧。。。

Ericcccccccc

2023-03-09 15:32:02 +08:00

公司电脑装了监控软件可以做到 10s 截一次屏幕的. 你要担心的东西不应该限制在 https 上.

Promtheus

2023-03-09 15:33:53 +08:00

https 是防止的网络嗅探吧，你这直接在源点就被黑了这还搞个毛线

justfindu

2023-03-09 15:35:26 +08:00

你这都已经跳出互联网范畴了呀.

8355

2023-03-09 15:40:13 +08:00

linux 获取了 root 权限
windows 获取了 administrator 权限

还有什么是做不到的吗做不到只是技术能力问题不是限制问题
反向理解这是我个人电脑有 administrator 我想干啥计算机能做到非不让我干那对吗...

好像租了房东的房子换了把锁房东就进不来了吗...

sujin190

2023-03-09 15:59:42 +08:00

都能给你设 SSLKEYLOGFILE 环境变量了，直接给你搞个根证书不更好么，这下不管你是不是 chrome 都随便看了，所以都物理突破了既然已经有更容易使用的方法，那么 chrome 搞不搞还有啥意义，而且设置这个现实也确确实实会有这个需求啊

fregie

2023-03-09 16:12:26 +08:00

都能跑到你电脑上为所欲为了,这就跟网络协议没关系了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/922534

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.