这是一个创建于 947 天前的主题,其中的信息可能已经有所发展或是发生改变。
HTTPS 安全是因为有 SSL 加密,网管直接抓包是看不到具体内容的。
但是,我发现 chrome 会把很安全的 SSL 密钥导出到明文,仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE),就能轻易做到!
这意味着,公司网管只要在我机器上简简单单配置一个环境变量,我电脑上 chrome 浏览的所有网站,用户密码,他都能直接看到。并且 chrome 浏览器毫无风险提示信息,让人非常没有安全感。
但是,我发现 chrome 会把很安全的 SSL 密钥导出到明文,仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE),就能轻易做到!
这意味着,公司网管只要在我机器上简简单单配置一个环境变量,我电脑上 chrome 浏览的所有网站,用户密码,他都能直接看到。并且 chrome 浏览器毫无风险提示信息,让人非常没有安全感。
 | 1 libook 2023-03-09 11:55:30 +08:00  60 这压根不是 HTTPS 的职责范围。你都突破物理隔离了,即便不用环境变量装个抓包证书就可以吧,或者替换个加了后门的魔改版浏览器也可以吧。 HTTPS 有效的前提是你信任你的浏览器和操作系统。 |
 | 2 Rrrrrr 2023-03-09 11:57:37 +08:00 不知道为什么我电脑上的 charles 好像不好用了,chrome 也会提示风险,有些还一直报 |
| 3 Rrrrrr 2023-03-09 11:58:09 +08:00 chrome 版本:110 |
 | 4 tool2d OP 2023-03-09 11:59:19 +08:00 @libook 公司的电脑,装 1 ~ 2 个普通的网管监控软件是很正常的。电脑算公司的财产,不是完全个人所有。 还有些公司用的是瘦客户端,更没有主导权了。 我是觉得 chrome 不应该把密钥那么重要的东西,就直接静默导出,至少弹出一个确认对话框吧。 |
 | 5 benedict00 2023-03-09 12:00:55 +08:00 via Android @Rrrrrr charles 证书到期了吧,重新生成证书再安装,信任吧 |
| 6 tool2d OP |
| 8 libook 2023-03-09 12:03:44 +08:00 @tool2d #4 Chrome 确实有些设计不合理的地方,不过你要知道,它只是个浏览器,这就决定了它的安全性设计仅满足于浏览器本身的需求。 所以涉及到敏感信息的情况,我通常不会使用普通浏览器,比如密码管理。 不过不管怎么说,你讲的也都不属于 HTTPS 的功能范围。安全向来都是相对而言的,还是得自己了解其中的原理,然后再根据需求慎重决策。 |
 | 10 KSR 2023-03-09 12:05:35 +08:00 公司的电脑不属于你,你为什么要在不属于你的设备上登录你的账号? 如果是你个人的电脑,你可以拒绝网管的要求。 |
 | 12 cyrbuzz 2023-03-09 12:08:33 +08:00 一楼+1 。 能操控物理机啥 s 都不好使。 我都能操控给你电脑加环境变量了,在你证书里赛个其他证书也不是难事。 |
 | 13 binux 2023-03-09 12:11:38 +08:00 via Android 4 @tool2d IE 确实不会导出到明文,因为为了看你的通信内容,监控软件压根就不需要 SSL 密钥。。。 |
| 15 tool2d OP 2 @binux 如果是中间人代理,我反倒不怕,在 chrome 看一下网站根证书就知道是被监控了。 我怕的是在自己不知情的时候,被监控。 以前看 HTTPS 文档有说到,内存里的握手密钥,在建立连接后,都是需要马上销毁的,chrome 怎么还能保存到明文呢,真是晕过去。 |
 | 17 0o0O0o0O0o 2023-03-09 12:17:19 +08:00 via iPhone 这不是 https 保障的范围。 |
 | 18 iClass 2023-03-09 12:26:30 +08:00 via Android 最好的浏览器是自研浏览器。由于只有一个地球,基于能量守恒原则,谷歌今年必须下,让微软抬头。 |
 | 19 dcsuibian 2023-03-09 12:28:17 +08:00 用得着配置环境变量,公司直接给你装个证书,不行直接给你录屏 你连电脑的控制权都没有,赖我一个小工具,我也很无奈啊 |
 | 20 tomczhen 2023-03-09 12:37:11 +08:00 via Android 28 ssl 确实不安全,只要有人拿刀架我脖子上,我啥都说了。 |
 | 21 kop1989smurf 2023-03-09 12:42:39 +08:00 系统安全,是要有一个场景前提和既定目的的。 并不是所有的框架设计,首要目的都是“绝对安全”。因为这样成本太高,而且适应面太小。 书归正传,https 就是一个针对传输领域的安全协议,他只负责传输层面上的安全,而且是相对安全(破解成本大于破解后的收益)。 chrome 的部分设计确实相对比较激进,或者说懒散。但其依然遵循的是“相对安全”和“场景设计”这两个原则。 比如楼主举例的“明文密码”,“明文 ssl”,其安全逻辑和现实中的钥匙链没什么区别。 如果能接受裤兜里揣钥匙没问题,那么理应来讲 PC 中存明文也没什么问题。 |
 | 22 mrcn 2023-03-09 12:44:51 +08:00 9 你都装监控软件了,还费什么劲拿 SSL ,直接监控你屏幕,直接 hook 你浏览器拿网页,有的是办法搞你。 你能说出这话说明你完全没理解 HTTPS 安全在哪里。 |
| 23 tool2d OP @kop1989smurf "如果能接受裤兜里揣钥匙没问题,那么理应来讲 PC 中存明文也没什么问题。" 不是的,chrome 保存的是客户端随机数和服务器端随机数。 什么叫随机数?就是为了让黑客无法预测的数字,可 chrome 都明文保存到磁盘上了,就自然失去了“随机”的作用。 这种明显开发者向的工具,又比较数据敏感的功能,chrome 就不应该默认开启。 IE 这点就很好,SSL 握手密钥只存在内存里,用完就销毁,谁都别想存到硬盘上。 |
 | 24 StarRail 2023-03-09 12:53:16 +08:00 再说一个吓人的,据统计一半使用 CDN 的网站采用了 CloudFlare CDN 。HTTPS 端到端加密到 Cloudflare 这里就透明的,与国际间谍组织无缝共享数据 :P |
| 25 tool2d OP @mrcn "说明你完全没理解 HTTPS 安全在哪里。" 在我眼里的安全,就类似苹果手机加密,官方来了也没办法解锁。 chrome 这种静默导 SSL 密钥,明显是给 https 破解留了一个后门。我不想要什么后门,要调试代码,可以用自签名证书。 我就希望 https 加密后的数据,谁都看不见,包括我自己! |
 | 26 adoal 2023-03-09 13:19:43 +08:00 文不对题,不安全的明明是 Chrome 这个具体浏览器的密钥日志行为,又不是 HTTPS 本身。 |
| 27 tool2d OP 2 @adoal 因为不仅仅是 chrome ,包括 firefox 和一大堆套皮 chrome 浏览器,都会有类似行为,都用同一个环境变量名。 不知道 edge 加了 chrome 内核会有什么表现,还没尝试。反正我只知道 ie 内核是 100%安全的。 |
| 28 adoal 2023-03-09 13:29:50 +08:00 我倾向于认为是开发人员脑子抽筋导致的 bug ,而不是后门。这个是 Chrome 开发人员为了方便调试 Chrome 本身用的,不是给业务系统的 web 开发人员调试网站用的,跟你说的“要调试代码,可以用自签名证书”没关系。 |
 | 29 LokiSharp 2023-03-09 13:47:06 +08:00 都能设置环境变量了,也就没什么隐私了把 |
| 30 adoal 2023-03-09 13:49:57 +08:00 经过搜索,这个环境变量是来自 Netscape NSS 库。从 NSS 3.24 开始,用 Makefile 构建的默认关闭,用 build.sh 调用 gyp 构建的仍然启用。Firefox 官方版本重新启用了,而 Debian 拒绝启用。 有说 OpenSSL 也遵循了 NSS 的这个惯例。但是细节我还没搞清楚。 |
 | 31 dqzcwxb 2023-03-09 13:53:35 +08:00 没有绝对的安全,只有相对的安全 |
 | 32 levintrueno 2023-03-09 13:56:26 +08:00 你用 IE ,觉得 HTTPS 安全。IE 外,觉得 HTTPS 不安全。 那么,问题出在 HTTPS 了嘛... |
 | 33 leonshaw 2023-03-09 13:57:12 +08:00 4 不来个 LD_PRELOAD 呢 |
 | 34 lambdaq 2023-03-09 13:58:53 +08:00 https 是否安全是跟。。。。。http 比吧? 你 http 甚至都不需要 SSLKEYLOGFILE 呢,亲。 |
| 35 lambdaq 2023-03-09 14:00:25 +08:00 1 你可以打开 chrome.exe 二进制,找到 SSLKEYLOGFILE ,改成别的。 |
 | 38 hxy91819 2023-03-09 14:09:33 +08:00 我就觉得楼主考虑的有道理。现在很多所谓的“零信任”设计思路,也是不相信任何中间协议的安全性。 |
 | 39 idontnowhat2say 2023-03-09 14:10:31 +08:00 1 @Helsing cdn 基本都是这样的,或多或少,不然你 ssl 加密的请求了咋给你加速 |
40 kaedeair 2023-03-09 14:10:47 +08:00 @tool2d 25# 是真的苹果官方不能解锁,还是官方不想让公众知道他们能够解锁 没有绝对安全的系统 |
| 41 idontnowhat2say 2023-03-09 14:16:40 +08:00 1 https 是个通信协议,跟你本地安全不安全和这个有啥关系,你能都在 client 端操作了,基本就是所见即所得。导出 SSLKEYLOGFILE 只不过是 ssl 库的一个方便本地抓包调试的特性罢了。 你认真说的话,在客户端那没啥安全的了,就算没有 SSLKEYLOGFILE 也能有 100 种方法获取到你的通信内容,用 epbf hook 系统调用,一切皆可见。 |
 | 42 Helsing 2023-03-09 14:17:27 +08:00 via iPhone 1 翻完帖子才明白楼主说的是 https 中的协商出来的对称加密密钥可以导出来 感觉楼主确实没太理解 https ,https 安全的前提是设备必须安全可信,没有这个前提,哪来的安全 你提的问题只能表明 Chrome 不安全,而不是 https 不安全 另外,苹果手机加密,如果加密过程中也像 Chrome 能导出密钥或者留有后门什么的,一样也是不安全的,并不存在什么绝对安全…… |
| 43 Helsing 2023-03-09 14:20:48 +08:00 via iPhone @Seanfuck #37 我知道啊,所以我很好奇 https 怎么到 CDN 就透明了,这不是很离谱吗 |
 | 44 leoleoleo 2023-03-09 14:24:24 +08:00 ssl 或者 tls 那是保证传输层面安全的技术啊,本地系统层面有问题,数据还没发出去就被拿走了,这能怪传输层面的安全技术吗。一旦系统层面不安全了,浏览器啥机制都不顶用啊,不管数据存在硬盘还是内存,一样能读取呀,23 楼 op 还在说存储机制和随机数的事,大哥了解一下 ssl 技术,随机值和协商出来的加密密钥都是一次性的,每一次通信完成后就没用了,这一点上你存在内存和存在硬盘上有什么区别啊。 |
 | 45 yolee599 2023-03-09 14:24:50 +08:00 SSL 可以保证“传输过程中”的安全,数据包已经到了你的电脑,那这个数据包已经不归 SSL 管了。就像运钞车,钱已经运到了银行,并且交到了银行手上,在银行被别人持枪抢劫了是不归运钞车管的。 |
| 46 Helsing 2023-03-09 14:26:05 +08:00 via iPhone @idontnowhat2say #39 看了一下 CDN 的原理,确实如此 |
 | 47 newmlp 2023-03-09 14:37:50 +08:00 chrome:别人都能改你环境变量,读你本地文件了,你告诉我没保障你的安全? |
| 48 tool2d OP @leoleoleo "大哥了解一下 ssl 技术,随机值和协商出来的加密密钥都是一次性的,每一次通信完成后就没用了,这一点上你存在内存和存在硬盘上有什么区别啊。" 是一次性的,所以 chrome 把每一次通讯的 ssl 密钥都保存下来了。你客户端发起了 100 次请求,chrome 就老老实实保存 100 份密钥。以确保网管在出口网关上,抓取的所有加密数据包,都能正确解密。 |
 | 49 CatCode 2023-03-09 14:50:10 +08:00 你给 Chrome 启动套个娃呗,整个脚本启动 Chrome 前先把 SSLKEYLOGFILE 变量设为空,不就行了吗 |
 | 50 AA5DE3F034ACCB9E 2023-03-09 14:52:11 +08:00 我觉得 OP 讲得有道理,我对 HTTPS 了解不多,但如果提供容易获取 SSL Key 的方式,我觉得不应该,稍微加点门槛都好过随便获取吧 |
 | 51 yannxia 2023-03-09 14:58:05 +08:00 @AA5DE3F034ACCB9E 和 Chrome 有关系,和 HTTPS 有啥关系呢,Chrome 提供一个方便 Debug 的功能,你别开呗,但是你电脑被控制了,开了这个功能,但是主要问题是你的电脑被控制,就算 chrome 没提供这个功能也有其他办法搞定。 |
 | 52 geelaw 2023-03-09 15:06:33 +08:00 不太确定 OP 在期待什么。公司的电脑是公司控制的,公司可以不间断查看你的内存,那么 Chrome 记录不记录也没什么区别,你能做的就是不使用公司电脑做不能让公司知道的事情。 |
 | 53 mrhhsg 2023-03-09 15:17:26 +08:00 以前感觉飞机很安全,最近有一次我下了飞机扫了个共享单车骑回家居然摔了一跤。。。仅需要一辆共享单车就能引起飞机乘客的受伤,让人非常没有安全感 |
 | 54 byte10 2023-03-09 15:18:51 +08:00 @tool2d 我也是醉了,跟你导出 ssl 有啥关系。网管直接让你安装 信任根证书就完事啦。思维还是没转过来。 之前还有一个同事说,浏览器的 cookie 被别人的导出去怎么办? 账号岂不是被别人登录上啦?你电脑都没有设置高强度密码,肯定会被偷看到啦。所以现在很多都是指纹解锁。很多支付都要二次确认。 太多这样无逻辑的担忧。。。 |
 | 55 Ericcccccccc 2023-03-09 15:32:02 +08:00 公司电脑装了监控软件可以做到 10s 截一次屏幕的. 你要担心的东西不应该限制在 https 上. |
 | 56 Promtheus 2023-03-09 15:33:53 +08:00 https是防止的网络嗅探吧,你这直接在源点就被黑了这还搞个毛线 |
 | 57 justfindu 2023-03-09 15:35:26 +08:00 你这都已经跳出互联网范畴了呀. |
 | 58 8355 2023-03-09 15:40:13 +08:00 linux 获取了 root 权限 windows 获取了 administrator 权限 还有什么是做不到的吗 做不到只是技术能力问题 不是限制问题 反向理解这是我个人电脑有 administrator 我想干啥计算机能做到非不让我干那对吗... 好像租了房东的房子换了把锁 房东就进不来了吗... |
 | 59 sujin190 2023-03-09 15:59:42 +08:00 都能给你设 SSLKEYLOGFILE 环境变量了,直接给你搞个根证书不更好么,这下不管你是不是 chrome 都随便看了,所以都物理突破了既然已经有更容易使用的方法,那么 chrome 搞不搞还有啥意义,而且设置这个现实也确确实实会有这个需求啊 |
 | 60 fregie 2023-03-09 16:12:26 +08:00 都能跑到你电脑上为所欲为了,这就跟网络协议没关系了 |
 | 61 bing1178 2023-03-09 16:13:33 +08:00 |
 | 62 fields 2023-03-09 16:16:26 +08:00 跟 https 有什么关系 https 是传输过程 浏览器是另外的领域了 |
| 63 newmlp 2023-03-09 16:17:28 +08:00 @AA5DE3F034ACCB9E 在本地已经不安全的情况下,这种门槛毫无意义,人家不能在你系统里装一个自签名证书,一样抓你数据,甚至比环境变量还简单 |
 | 64 Aixtuz 2023-03-09 16:23:10 +08:00 再安全的锁,也挡不住劫匪架刀让我掏钥匙。 |
 | 65 churchmice 2023-03-09 16:26:27 +08:00 又是想搞个大新闻,还以为 ssl 被攻破了呢 你这问题恰好说明 https 的重要性 |
 | 66 iX8NEGGn 2023-03-09 16:40:58 +08:00 1 本地安全关 https 什么事,人家保障的通信链路的安全,退一万步讲,这是浏览器的策略,和 https 也完全不搭边 |
 | 67 yaphets666 2023-03-09 16:44:45 +08:00 这和直接把你绑票了,问你信息有啥区别。你要这么说,密码这个东西根本就没用,我直接打开你浏览器,复制一份你的参数就可以了。 |
 | 68 luoshuhui 2023-03-09 16:46:23 +08:00 没明白“ssl 密钥”是指什么? |
 | 69 dobelee 2023-03-09 16:52:07 +08:00 谷歌认为你的 PC 被网管入侵。 |
| 70 tool2d OP @luoshuhui "没明白 ssl 密钥是指什么?" https 传输,底层一般会用 AES 这类的算法加密数据。 SSL 为了保证安全性,原则上每一次新的请求,都会要求客户端更换新密钥。 而 chrome 的 SSLKEYLOGFILE ,会把每一次更换的密钥,都保存下来。有了密钥后,就相当于网管在出口抓包,抓的是明文 http 。 |
 | 71 JKeita 2023-03-09 16:57:43 +08:00 你这话说的,你都电脑上被监控了,还有啥隐私可言,跟 https 有啥关系。 |
| 72 AA5DE3F034ACCB9E 2023-03-09 16:59:18 +08:00 @yannxia 对,我想说的是 Chrome 。虽然有人拿刀架在脖子上做比喻,但我还是无法理解把钱放在电视抽屉的操作,假如有更好的保险箱的情况下,或者是暗格 |
 | 74 bluedawn 2023-03-09 17:08:42 +08:00 via iPhone 3 草,点进来前还以为 https 这么多年了居然还能有漏洞 点进来以后“哦这样啊那没事了”。 |
 | 75 hankai17 2023-03-09 17:09:15 +08:00 让浏览器走代理 再加密一次 |
| 76 tool2d OP @JKeita "你这话说的,及时苹果手机你把解锁密码跟别人说了不也一样。" 两者完全不一样的。 1. 拿刀架脖子,让我交待苹果锁屏密码,我认怂。(公司让强制安装根证书) 2. 在办公室屋顶安装一百倍放大镜,偷看我解锁屏幕的密码,我不服。(用环境变量静默导出,大部分人都不知道还有这个参数) |
 | 77 LXGMAX 2023-03-09 17:38:11 +08:00 我直接用 curl 上网,人脑渲染 page 再 post |
 | 78 neptuno 2023-03-09 17:46:44 +08:00 可能后面的同事是卧底呢,偷偷看你电脑屏幕 |
 | 79 Metre 2023-03-09 18:19:56 +08:00 https 不是做加密的吧? https 是防篡改 要加密 自己套代理 |
 | 80 banmuyutian 2023-03-09 18:26:59 +08:00 强盗都跑进家里了你怪管家放东西不够严实…… |
 | 81 duanxianze 2023-03-09 18:29:31 +08:00 @tool2d 那我在你苹果上装个监控软件,你还安全吗? |
 | 82 n18255447846 2023-03-09 18:56:29 +08:00 ssl 防的是中间人攻击,防不了内鬼 |
 | 83 Vh5g6zZU 2023-03-09 19:17:19 +08:00 有点像 KeePass 前段时间被人骂有漏洞,你运行环境本身都不安全了还纠结什么呢 |
 | 84 kkocdko 2023-03-09 19:22:29 +08:00 via Android 2 你设置环境变量,甚至可以: 使用 LD_PRELODE 强行要求所有程序先执行你的代码。 那么你在说什么? |
 | 85 huijiewei 2023-03-09 19:28:02 +08:00 世界上有安全的东西么 加密? 打死也不说? |
 | 86 AlisaDestiny 2023-03-09 19:28:56 +08:00 via Android 2 有点无语,你这有点像用微信和朋友语音,结果说的话全被你旁边的同事听见了,然后你说微信一点也不安全。 |
 | 87 IvanLi127 2023-03-09 19:30:04 +08:00 via Android 这关 https 啥事。。。。。这标题起得很引战啊 |
 | 88 sl0000 2023-03-09 19:38:15 +08:00 https 解决的不是你这个问题呀, 你这个问题是要装一个安全的系统和安全的应用环境才行 |
 | 89 mangoDB 2023-03-09 19:58:46 +08:00 - 管理软件定时截屏 |
 | 90 busier 2023-03-09 20:06:12 +08:00 楼主脑子瓦特了,Chrome 的问题怪到 SSL/TLS 头上! |
 | 91 ipcjs 2023-03-09 22:09:50 +08:00 IE 确实非常安全 |
 | 92 stillyu 2023-03-09 22:26:40 +08:00 相当于你当着警察的面用卫星电话招呼同伙 |
 | 93 Admstor 2023-03-09 23:18:54 +08:00 1 楼主理解错了安全 以及 https 的安全 https 保护的是网络中传输的安全问题 并不保护你电脑本地的数据安全 你说的问题是你电脑本地的安全 一个整体安全的系统,是由多个安全模块共同组成的 每个模块之间往往也是安全漏洞容易爆发的点 根签名也可以直接给伪装网站发签名 你作为终端用户也不是一下子就可以看穿,chrome 也没提示的 所以无论如何也是需要时刻警惕的 |
 | 94 none 2023-03-09 23:50:58 +08:00 这个其实也不是 chrome 的问题,应该是底层协议遵守了某个开源的代码,Firefox 也会读取这个环境变量,就是为了方便调试用的。 这个环境变量也就相当于是一个开关,需要用的话自己去配置上。其他人如果有能力在你电脑上偷偷设置这个环境变量,那就不只是浏览器不安全,是所有软件都不安全。 |
 | 95 lqhx 2023-03-10 00:24:56 +08:00 电脑都被入侵了,还谈什么安全? 就算不解析你的流量,直接粗暴录屏都知道你在干啥 |
 | 96 amlee 2023-03-10 00:39:01 +08:00 你家钥匙都丢了,你还操心门锁牢不牢 |
 | 97 levelworm 2023-03-10 00:42:43 +08:00 via Android 公司电脑不做个人方面的使用。我连常用的论坛都重新注册账号 |
 | 98 Mystery0 2023-03-10 00:48:16 +08:00 via Android 没铜币了? |
 | 99 lesismal 2023-03-10 01:52:41 +08:00 先搞清楚,通信协议相关的安全算法主要是防止信道监听者。这类似战争年代无线电被监听、加密防破解。 不是用来防止具有密钥的通信两端的,因为两端本来就各自有密钥。所以这种有机器权限的就不适合 OP 讨论范围。 另外,如果想绕过,你装个虚拟机,在虚拟机里跑,应该就可以了,如果想更狠,虚拟机里再加上加密隧道、VPN 。。。 |
 | 100 pingdog 2023-03-10 07:12:05 +08:00 via Android 4 看 title 还以有 zero day 看到内容 …… sslkeylogfile 又不是近期才加上的,已存在多少年的旧手法。。 OP 说 IE 安全? …… Windows schannel 了解下,同样 client 无感拿 exchange key 大型软件的功能都置有 access point ,能接触到 terminal 做任何安全都没用,总有手段拿出来,没绝对的手法 况且窃取 TLS 在 server/client 有多种,远不止于当前,dump memory/function hooking 等等很多无感的方法,都有成熟的工具,IT 要搞你,手法千千万 回复前翻了下 OP 历史帖,发现是同步公司代码到个人手机的拿位。。 |
Select Language