Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
mytry
V2EX  ›  程序员

直到现在仍有不少人认为,访问没隐私没价值的网页,不是 HTTPS 问题不大。。。

  •  3      
  •   mytry · Sep 26, 2018 · 17267 views
    This topic created in 2832 days ago, the information mentioned may be changed or developed.

    直到现在,居然仍有不少人(甚至包括做 Web 开发以及安全的),以为只有涉及隐私的网页用 HTTPS 才有意义。随便浏览一个从搜索引擎里点出来的 HTTP 垃圾站对自己并没什么影响。。。

    殊不知,只要允许了三方 Cookie (各大浏览器默认允许),访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露。。。(原理很简单,大家可以想想为什么)

    而且国内大部分网站隐私 Cookie 都没加 secure,也极少有网站同时开启 HSTS+includeSubDomains,导致用户 cookie 大片大片的泄露。

    真正了解这个风险并禁用三方 Cookie 的寥寥无几,最悲催的是不少国内大网站都依赖这个,禁用后正常功能都会受影响。。。

    Supplement 1  ·  Sep 26, 2018
    另外再提个思考题:为什么加了 HSTS 还要必须加 includeSubDomains 才能避免 Cookie 泄露?(针对非 Secure 的 Cookie )
  • cookie
  • 隐私
  • 禁用
  • 网页
    111 replies    2024-05-02 04:33:16 +08:00
    1  2  
    RuHe
        101
    RuHe  
       Sep 27, 2018
    // Google 安全博客早些时候宣布,2018 年 7 月发布的 Chrome 68 将标记 HTTP 网站为不安全。搜索巨人还计划在搜索结果里降低 HTTP 网站的排名。

    // 资深软件开发者 Dave Winer 批评了 Google 的这一计划,他指出互联网上有很大一部分内容是存档,文件放在那里是没人维护的,没人会去做 Google 想要所有网站去做的事情。这些能正常访问就已经足够了,潜在的好处并不能证明启用 HTTPS 是合理的。

    // 如果 Google 的计划付诸实施并成功了,那么许多存档性的网站将会逐渐无人问津,这就像是数字时代的大规模焚书。大多数存档网站不收集用户数据或者根本没有用户互动,启用不启用 HTTPS 无关紧要。

    // 互联网是一个开放平台,不是一个企业平台,它的定义是其稳定性。Google 和我们一样都是互联网的客人,而客人不能去制定规则。
    houbaron
        102
    houbaron  
       Sep 27, 2018 via Android   ❤️ 1
    你以为你在上互联网?其实数据都是路由器编的。
    你以为你在过日子?其实这是楚门的世界,我们都是拿工资陪你聊天的。
    你以为你还活着?其实都是缸中之脑。
    seven777
        103
    seven777  
       Sep 28, 2018
    @houbaron 缸中之脑,是啥意思?腌猪头?啥味的?五香的?还是麻辣的?
    no1xsyzy
        104
    no1xsyzy  
       Oct 26, 2018
    @iwtbauh #26 你怎么知道你的操作系统不是 ISP 注入了隐藏根证书的?
    还记得 quine 是为什么提出的吗?
    你就算自己写 CPU 你都不知道流片的时候有没有插后门。
    iwtbauh
        105
    iwtbauh  
       Oct 26, 2018 via Android
    @no1xsyzy

    是这样的,我的操作系统根证书由 ca-certification 包提供,debian.org 提供此包时,使用 gpg 为其签名,我的计算机上包含公钥,可以通过 gpg 验证。gpg 公钥就是这个体系的 Trust Anchor

    quine 和这个有什么关系我还真不知道,请指教。

    硬件后门就没办法了,所以我们要推进自由硬件技术。期待未来有一天个人有便宜的技术把它们制造出来。
    no1xsyzy
        106
    no1xsyzy  
       Oct 30, 2018
    @iwtbauh
    但你没有找 Debian 项目组的人线下验证该 GPG 公钥。信任网没有建立。你也没法保证你下载的 Debian 镜像不是被调包的。

    quine 是可以做到任何进程读取 ELF/.exe 的时候读取不到恶意代码,但只要接触到就在文件内插入该恶意代码。所有的文件 IO 接口都被这样污染了以后就变成任何一个程序都具有该恶意代码,但没有任何程序能够发现该恶意代码,除非用物理方式手工分析。可能我们碰上的所有程序都有这个恶意代码,因此你根本就不知道这个恶意代码存在。
    说不定全球的电脑都已经被感染了。现在之所以 IO 如此地慢都是因为每次要通过这个恶意代码。你的硬盘空间莫名其妙地占满是因为里面都是这个恶意代码。

    自由硬件你也不能保证制造那个硬件的设备没有这个问题。

    “计算机没有中招”本来就是不可证伪的问题。
    iwtbauh
        107
    iwtbauh  
       Oct 30, 2018 via Android
    @no1xsyzy

    我回答的是“你怎么知道你的操作系统不是 ISP 注入了隐藏根证书的?”:因为我可以通过多种来源获取 Debian 的公钥(多家运营商、tor 网络),而不是来源单一运营商,因此可以基本上认为该公钥是没有被“运营商”修改的。

    因为现实非常复杂,单一运营商根本不可能完全把自己的行为隐藏起来。
    iwtbauh
        108
    iwtbauh  
       Oct 30, 2018 via Android
    @no1xsyzy

    你说对那个 quine 我还是不明白,有没有文章链接 /代码?
    no1xsyzy
        109
    no1xsyzy  
       Oct 30, 2018
    @iwtbauh 忽略 ISP,任何人都可以用“通用可执行污染代码”污染全世界的电脑。在此基础上这个代码就能够任意篡改下载的内容——在此基础上,ISP 如果有心篡改网络内容,也是可以的。
    不完备性已经证明了,“计算机中招了”本来就是不可证伪的问题。
    ----
    实际上,全球的 ISP 已经组成全球 ISP 光明会了呢(包括 Tor 出口节点所在的 ISP ),只是所有人都不知道罢了。我也只能装作在讨论微乎其微的可能性时才能把这个信息发出来,不然就直接被 ISP 删除了呢。其实依赖于网络的垄断,全球 ISP 光明会已经做出天网,只是所有人都不知道罢了。你知道的,几乎所有人都只能靠网络来和他人取得联系。在网络被光明会垄断的当下,即使有人发现这一事实也无法警告别人。
    7VO54YYGvw3LOF9U
        111
    7VO54YYGvw3LOF9U  
       May 2, 2024 via iPhone
    @houbaron 有趣
    1  2  
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2968 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 14:31 · PVG 22:31 · LAX 07:31 · JFK 10:31
    ♥ Do have faith in what you're doing.