这是一个创建于 4026 天前的主题,其中的信息可能已经有所发展或是发生改变。
主要是看到这个讨论,http://www.v2ex.com/t/136893
有一种观点是只要建立了 HTTPS 链接,就是牢不可破的。问题是黑客可以阻止 HTTPS 连接的建立。那么如果我已经看到浏览器报告建立了 HTTPS 连接,是否可以保证传输的信息是可靠的呢?
假设:
1)用户的操作系统没有被植入木马
2)用户浏览器信任的证书没有问题
=====
我的一些疑问:
1)DNS 劫持是否可能导致建立的 HTTPS 是用户和钓鱼站点之间的连接?
2)即使是使用自己的 Wifi,在公网被 DNS 投毒也不是不可能。如何保证 HTTPS 连接的可靠性?
有一种观点是只要建立了 HTTPS 链接,就是牢不可破的。问题是黑客可以阻止 HTTPS 连接的建立。那么如果我已经看到浏览器报告建立了 HTTPS 连接,是否可以保证传输的信息是可靠的呢?
假设:
1)用户的操作系统没有被植入木马
2)用户浏览器信任的证书没有问题
=====
我的一些疑问:
1)DNS 劫持是否可能导致建立的 HTTPS 是用户和钓鱼站点之间的连接?
2)即使是使用自己的 Wifi,在公网被 DNS 投毒也不是不可能。如何保证 HTTPS 连接的可靠性?
 | 1 wb14123 2014-10-03 22:18:44 +08:00 via Android 国内很多https其实是不验证证书的,就是说有可能dns劫持 |
 | 2 dangge 2014-10-03 22:22:17 +08:00 如果不全程https 安全就毫无意义。 在公网被DNS投毒这个不了解。。。不过这种事情一年都难出现一次。 |
 | 3 lightening OP |
| 4 dangge 2014-10-03 22:30:03 +08:00 @lightening 所以说国内除了少数的一些全程Https的网站可以说是安全外 别的Https就是起一个拉低加载速度的作用。。。。 |
 | 5 9hills 2014-10-03 22:31:06 +08:00 全程HTTPS,本机无问题。就可以认为是安全的。 什么DNS、HTTP劫持都搞不定HTTPS |
 | 6 zxc111 2014-10-03 22:31:57 +08:00 打开证书信息,上面行写着“ 保证远程计算机的身份, 向远程计算机证明您的身份 ” 除非劫持的服务器端证书和真正网站的服务器端证书一直,不然浏览器直接就提示证书不被信任 |
 | 7 raincious 2014-10-03 22:35:10 +08:00 不能。这涉及到服务器策略,比如同源策略等等以及引用的外部服务是否安全。 简单来说SSL只是让你能够加密的传输数据,但是不保证有不合法的代码混入安全环境。 比如如果站点本身就有XSS风险,那么HTTPS无能完全避免这个风险(虽然浏览器会拒绝加载部分资源,但是绕过也是有可能的)。 所以,就这个例子,还是相信@yuange1975说的。“安全”其实在某些方面意义上==“没有侥幸心理” |
 | 8 zzNucker 2014-10-03 22:40:19 +08:00 明显不行,还有证书的问题。 |
| 9 zzNucker 2014-10-03 22:45:11 +08:00 /诶,无视我。没看到假设2/ |
 | 10 DreaMQ 2014-10-03 23:00:46 +08:00 via iPad 钓鱼网站还是有可能的 不过地址栏上的地址肯定与真正的网站不同(有多不同那就很难说了) |
 | 12 virusdefender 2014-10-04 11:42:36 +08:00 很多安卓app绕过系统安全的api自己去实现了一套机制 根本不验证域名/证书等 |
 | 13 tangzx 2014-10-04 13:58:43 +08:00 不一定可信,比如如果某个网站服务器证书被泄漏,则它会被 MITM,或者某个上游 CA 证书泄漏(盗取、政府),或者是 NSA 动用了传说中的 DES 盒子……噗,还是会被 MITM |
Select Language