V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
lightening
V2EX  ›  问与答

浏览器上看到建立了 HTTPS 连接,能说明传输的所有内容是安全的吗?

  •  
  •   lightening · 2014-10-03 21:56:50 +08:00 · 4344 次点击
    这是一个创建于 3722 天前的主题,其中的信息可能已经有所发展或是发生改变。
    主要是看到这个讨论,http://www.v2ex.com/t/136893

    有一种观点是只要建立了 HTTPS 链接,就是牢不可破的。问题是黑客可以阻止 HTTPS 连接的建立。那么如果我已经看到浏览器报告建立了 HTTPS 连接,是否可以保证传输的信息是可靠的呢?

    假设:
    1)用户的操作系统没有被植入木马
    2)用户浏览器信任的证书没有问题

    =====
    我的一些疑问:
    1)DNS 劫持是否可能导致建立的 HTTPS 是用户和钓鱼站点之间的连接?
    2)即使是使用自己的 Wifi,在公网被 DNS 投毒也不是不可能。如何保证 HTTPS 连接的可靠性?
    13 条回复    2014-10-04 13:58:43 +08:00
    wb14123
        1
    wb14123  
       2014-10-03 22:18:44 +08:00 via Android
    国内很多https其实是不验证证书的,就是说有可能dns劫持
    dangge
        2
    dangge  
       2014-10-03 22:22:17 +08:00
    如果不全程https 安全就毫无意义。
    在公网被DNS投毒这个不了解。。。不过这种事情一年都难出现一次。
    lightening
        3
    lightening  
    OP
       2014-10-03 22:27:00 +08:00
    @dangge 这种事情不是每天都在发生吗……
    @wb14123 不验证证书如何能建立 HTTPS 连接呢?浏览器会检查的啊,不然给警告。我自己的网站证书忘了续费浏览时就会警告。
    dangge
        4
    dangge  
       2014-10-03 22:30:03 +08:00
    @lightening 所以说国内除了少数的一些全程Https的网站可以说是安全外 别的Https就是起一个拉低加载速度的作用。。。。
    9hills
        5
    9hills  
       2014-10-03 22:31:06 +08:00
    全程HTTPS,本机无问题。就可以认为是安全的。
    什么DNS、HTTP劫持都搞不定HTTPS
    zxc111
        6
    zxc111  
       2014-10-03 22:31:57 +08:00
    打开证书信息,上面行写着“
    保证远程计算机的身份,
    向远程计算机证明您的身份

    除非劫持的服务器端证书和真正网站的服务器端证书一直,不然浏览器直接就提示证书不被信任
    raincious
        7
    raincious  
       2014-10-03 22:35:10 +08:00
    不能。这涉及到服务器策略,比如同源策略等等以及引用的外部服务是否安全。

    简单来说SSL只是让你能够加密的传输数据,但是不保证有不合法的代码混入安全环境。

    比如如果站点本身就有XSS风险,那么HTTPS无能完全避免这个风险(虽然浏览器会拒绝加载部分资源,但是绕过也是有可能的)。

    所以,就这个例子,还是相信@yuange1975说的。“安全”其实在某些方面意义上==“没有侥幸心理”
    zzNucker
        8
    zzNucker  
       2014-10-03 22:40:19 +08:00
    明显不行,还有证书的问题。
    zzNucker
        9
    zzNucker  
       2014-10-03 22:45:11 +08:00
    /诶,无视我。没看到假设2/
    DreaMQ
        10
    DreaMQ  
       2014-10-03 23:00:46 +08:00 via iPad
    钓鱼网站还是有可能的
    不过地址栏上的地址肯定与真正的网站不同(有多不同那就很难说了)
    julyclyde
        11
    julyclyde  
       2014-10-04 09:58:53 +08:00
    @wb14123 啊?什么叫国内不验证证书?
    virusdefender
        12
    virusdefender  
       2014-10-04 11:42:36 +08:00
    很多安卓app绕过系统安全的api自己去实现了一套机制 根本不验证域名/证书等
    tangzx
        13
    tangzx  
       2014-10-04 13:58:43 +08:00
    不一定可信,比如如果某个网站服务器证书被泄漏,则它会被 MITM,或者某个上游 CA 证书泄漏(盗取、政府),或者是 NSA 动用了传说中的 DES 盒子……噗,还是会被 MITM
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3265 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 10:36 · PVG 18:36 · LAX 02:36 · JFK 05:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.