这是一个创建于 2594 天前的主题,其中的信息可能已经有所发展或是发生改变。
运营商如果使用中间人攻击之类的技术,可以成功破解 https 并且不让用户发现吗?
 |
1
letitbesqzr 2017-03-10 14:25:16 +08:00
如果说中间人攻击技术的话..劫持一些不带 ssl 软件的自动更新,更新个带马的包下来.算不算
|
 |
2
gamexg 2017-03-10 14:33:29 +08:00  1
配合 12306 、银行之类的可以做到。
但是很大可能被浏览器厂家揪出来。 |
 |
3
xiaopc 2017-03-10 14:37:50 +08:00 via Android
“破解“ HTTPS 运营商还是做不到的。
但是 什么用户?钓鱼链接都信的用户还是黑阔级的用户? 客户端是证书合法性都不校验的某些应用还是支持 hsts preload 的浏览器? |
 |
4
Aliencn 2017-03-10 15:04:05 +08:00
如果你信任了运营商的证书的话,理论上就能被他“破解”你所有的 https 访问了
|
 |
5
thedog OP 如果运营商自己也申请一个合法的 https 证书呢
|
 |
6
cevincheung 2017-03-10 15:11:19 +08:00
@thedog #5 看谁签发啊。还记得 CNNIC 被 google chrome 拉黑么?
|
|
7
thedog OP @cevincheung 我对证书签发不是很了解,这个证书不是声称自己要办理网站,或者付费就能够申请的吗?
|
 |
8
tabris17 2017-03-10 15:17:07 +08:00
只要 CNNIC 的根证书在你浏览器里,就可以
|
 |
9
RobertYang 2017-03-10 15:19:25 +08:00 via Android 1
@thedog 如果你要申请证书并且被浏览器信任,那么你申请证书的地方( CA )是被浏览器信任的,你申请证书的域名必须证明是自己的。 CA 发假证书也是有的,但是被发现了直接会被整个拉黑掉,可以看 CNNIC 的非法签发谷歌证书的事,导致现在 CNNIC 自己的网站都是使用的别家的证书 。
|
|
10
cevincheung 2017-03-10 15:20:25 +08:00 1
|
 |
11
RqPS6rhmP3Nyn3Tm 2017-03-10 15:20:35 +08:00 via iPhone 1
@thedog 你说的是根证书,不会给运营商的,一个 ca 价值可以上千万
|
 |
12
lshero 2017-03-10 15:24:57 +08:00
冒那么大风险破解 HTTPS ?
一个“星空极速” “宽带我世界”客户端分分钟焦作人 |
|
13
thedog OP |
 |
14
whileFalse 2017-03-10 15:34:19 +08:00
@lshero 那是什么
|
|
15
RobertYang 2017-03-10 15:44:38 +08:00 via Android
@whileFalse 拨号客户端。。。校园网用户应该都是受害者
|
|
16
whileFalse 2017-03-10 15:46:11 +08:00
@RobertYang 那他和 https 有什么关系呢?
|
|
17
lshero 2017-03-10 16:15:55 +08:00
@whileFalse 都装到客户端了传输过程中再怎么加密也没有用啊。就和浏览器乱装插件 https 的页面里依旧可以植入小广告一样
|
|
18
whileFalse 2017-03-10 16:17:32 +08:00
@lshero 这个客户端会往系统里插入根证书吗?
另外 Firefox 不依赖系统根证书。 |
 |
19
xia0pia0 2017-03-10 16:21:09 +08:00
看谁签的吧,国内签的有问题,不代表国外签的也没问题。就好比以前还有 sha1 加密的 SSL 证书呢,安全应该是相对的。如果运营商在 CIA 培训过,我认为能。
|
|
20
lshero 2017-03-10 16:24:39 +08:00
@whileFalse 目前看来对于公众服务的拨号客户端没有这样的历史,不代表没有这样的能力。而且客户端除了校园网外基本已经都被淘汰了,所以没必要有这样的担心。
一些杀毒软件采用了插入证书的方式来扫描 https 的安全 http://tieba.baidu.com/p/3492953883 |
 |
21
ferock 2017-03-10 16:33:51 +08:00
楼上真是想象力丰富
|
 |
22
sunsol 2017-03-10 16:39:03 +08:00
那么多用 360 浏览器的,根本用不着从网络下手。
|
 |
23
bumz 2017-03-10 17:49:20 +08:00
运营商仅靠自己的力量就能破 TLS 的话, TLS 就作废了
当然神一样的对手不如猪一样的队友 几乎每个人的电脑里都安装了一些猪一样的队友 |
 |
24
Ouyangan 2017-03-10 18:42:39 +08:00
等量子计算机普及..
|
 |
25
winterbells 2017-03-10 19:29:31 +08:00
运营商没这精力吧。。。。
如果有人非要这么做的话,不如直接查水表来的快 |
 |
26
jiangzhuo 2017-03-10 19:31:55 +08:00
那么多浏览器,那么多插件,犯不着从 https 上下手。
|
 |
27
tSQghkfhTtQt9mtd 2017-03-10 19:51:44 +08:00 via Android
@Aliencn 不一定,应用了 HPKP 技术的站点可以防
|
 |
28
j8sec 2017-03-11 20:17:45 +08:00 via iPhone
能啊 很多运营商都被 webtrust 审计过了
|
 |
29
namebus 2017-03-12 18:08:04 +08:00
楼主说的运营商破解,实际就是指的从可信的层面,这是完全不可能(想都不要想),也没有哪家 CA 敢签发这个属于中间人攻击的证书,看看 CNNIC 和 WoSign 两家的下场就知道了,只要你偷偷干了坏事,太容易被发现,而且一但发现,后果都是最严重的那种。
|
 |
30
Hardrain 2017-03-15 10:37:26 +08:00
1.配合 12306 ,让他们用 SRCA 签假证书来 MITM ——估计很多人会中招
2.运营商想尽办法令用户无法使用路由器,要求在电脑上安装软件(校园网?), 这个软件向系统插入自己的根证书,然后 MITM ——很多用户会忽略 UAC ,甚至将其关闭 3.Logjam 或 FREAK 攻击,不过应该没有什么 Client 还支持 export cipher 或者是<1024-bit 的 DH 密钥交换——不太可行 |
|
31
Hardrain 2017-03-15 10:39:35 +08:00
另:
如果网站使用 HPKP ,且 Client 已经和网站建立过安全的连接,上述 1 和 2 恐怕就无法实施了 而如果是第一次连接时 ISP 就想要嗅探,那 HPKP 也没有用了,毕竟没有 HPKP Preload. |
 |
32
yryz 2017-03-16 18:44:19 +08:00
如果是这样的 SSL 配置,再强大的证书也无法保证安全
https://myssl.com/mail.scmc.com.cn |
 |
33
e8c47a0d 2018-08-09 10:41:02 +08:00
如果只是中间人攻击的话,你的客户端会提示证书错误的。
如果是暴破的话,除非 SSL 很弱,否则几乎不可能的。 |
Select Language