这是一个创建于 2681 天前的主题,其中的信息可能已经有所发展或是发生改变。
恶性病毒首次攻破 HTTPS 防线 劫持搜索引擎流量牟利
http://finance.ifeng.com/a/20161216/15082802_0.shtml
http://finance.ifeng.com/a/20161216/15082802_0.shtml
 |
1
molinxx 2016-12-16 20:37:16 +08:00 via Android  1
满满的广告
文章发布人:智能抓取 |
 |
2
wevsty 2016-12-16 20:41:14 +08:00
只是劫持了 https 链接而已
|
 |
3
qgy18 2016-12-16 20:46:53 +08:00 1
我之前写过一篇《三种解密 HTTPS 流量的方法介绍》。
https://imququ.com/post/how-to-decrypt-https.html 我在文章最后写到:如果浏览器被安装恶意扩展,即使访问安全的 HTTPS 网站,提交的数据一样可以被截获。这种客户端被攻击者控制引发的安全问题,无法通过 HTTPS 来解决。 这里描述的就是这种情况,病毒入侵到浏览器端,当然是想干嘛就干嘛。 |
 |
4
9hills 2016-12-16 20:50:54 +08:00 via iPhone
有机器控制权,怎么都能破, HTTPS 插一个 ca 就好了
有什么耸人听闻的 |
 |
5
weyou 2016-12-16 21:06:11 +08:00 via Android
确实耸人听闻,让人感觉是 https 的协议被公破一样。其实相当于木马而已,能控制机器什么样的加密都无济于事。
|
 |
6
ahhui 2016-12-16 21:10:19 +08:00 via iPhone
标题党+瞎扯。都入侵到机器里装驱动了,还有什么不能干的?而且截图里浏览器的 https 还是红的,这如果不是自己点的忽略和继续的话,那浏览器也该扔了。
|
 |
7
momi 2016-12-16 21:15:12 +08:00
只要不是被中间人攻破就没什么大问题,客户端的安全,得靠用户自己去把握。
|
 |
8
zander 2016-12-16 21:17:52 +08:00
被人物理接触机器,乃至只是木马操作,和主动告诉别人也都没什么区别了吧。
|
 |
9
tSQghkfhTtQt9mtd 2016-12-16 22:35:49 +08:00
HPKP 用户表示不懂你们在谈论什么
|
 |
11
lhbc 2016-12-16 22:51:18 +08:00 via iPhone
如果 HTTPS 配置没有漏洞,真能攻破的话,可以发 n 篇顶级论文。
下次再看到类似新闻,想下上面这句,就知道咋回事了。 |
 |
12
nfroot 2016-12-17 09:24:10 +08:00
大米饭可以安全食用啦啦啦啦!!!!!!!!!!!!
如果控制了你的饭碗,往里面投毒,会不会死?剂量够的话会的。 大米饭不安全啦!!!!!!!! 这类问题看着就无语。送你四个字,HSTS ,问题全解决,保证无劫持。 |
 |
13
phrack 2016-12-17 11:13:02 +08:00
都懒得点进去看也知道写的啥。
想说的是,以前做木马做病毒的,现在学乖了,现在做正规产品了,产品里附加上以前的木马病毒功能,搬到台面上来搜集你信息,控制你浏览的信息。 |
 |
14
libook 2016-12-17 21:24:28 +08:00
数学上来讲,目前 HTTPS 本身还是完全安全的。
不安全风险是与 HTTPS 本身无关的,比如中间人攻击。 |
 |
15
wdlth 2016-12-18 13:01:04 +08:00
前几天我爸不知道安装了什么软件,加了个根证书进去,把百度给劫持了,可惜是 SHA-1 证书,被打叉了……
|
Select Language