V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tool2d
V2EX  ›  SSL

以前感觉 HTTPS 很安全,现在有一点点改变看法了。

  •  
  •   tool2d · 2023-03-09 11:50:25 +08:00 · 15298 次点击
    这是一个创建于 653 天前的主题,其中的信息可能已经有所发展或是发生改变。
    HTTPS 安全是因为有 SSL 加密,网管直接抓包是看不到具体内容的。

    但是,我发现 chrome 会把很安全的 SSL 密钥导出到明文,仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE),就能轻易做到!

    这意味着,公司网管只要在我机器上简简单单配置一个环境变量,我电脑上 chrome 浏览的所有网站,用户密码,他都能直接看到。并且 chrome 浏览器毫无风险提示信息,让人非常没有安全感。
    109 条回复    2023-03-10 14:07:24 +08:00
    1  2  
    libook
        1
    libook  
       2023-03-09 11:55:30 +08:00   ❤️ 60
    这压根不是 HTTPS 的职责范围。你都突破物理隔离了,即便不用环境变量装个抓包证书就可以吧,或者替换个加了后门的魔改版浏览器也可以吧。

    HTTPS 有效的前提是你信任你的浏览器和操作系统。
    Rrrrrr
        2
    Rrrrrr  
       2023-03-09 11:57:37 +08:00
    不知道为什么我电脑上的 charles 好像不好用了,chrome 也会提示风险,有些还一直报
    Rrrrrr
        3
    Rrrrrr  
       2023-03-09 11:58:09 +08:00
    chrome 版本:110
    tool2d
        4
    tool2d  
    OP
       2023-03-09 11:59:19 +08:00
    @libook 公司的电脑,装 1 ~ 2 个普通的网管监控软件是很正常的。电脑算公司的财产,不是完全个人所有。

    还有些公司用的是瘦客户端,更没有主导权了。

    我是觉得 chrome 不应该把密钥那么重要的东西,就直接静默导出,至少弹出一个确认对话框吧。
    benedict00
        5
    benedict00  
       2023-03-09 12:00:55 +08:00 via Android
    @Rrrrrr charles 证书到期了吧,重新生成证书再安装,信任吧
    tool2d
        6
    tool2d  
    OP
       2023-03-09 12:01:01 +08:00
    @Rrrrrr charles 是代理,能看 HTTPS 明文我能理解。

    但是 SSLKEYLOGFILE 这个变量,不用加代理都能看明文。
    binux
        7
    binux  
       2023-03-09 12:03:25 +08:00 via Android
    @tool2d 你都装监控软件了,不加这个变量,直接给你套个 Charles 不是一样的吗?
    libook
        8
    libook  
       2023-03-09 12:03:44 +08:00
    @tool2d #4 Chrome 确实有些设计不合理的地方,不过你要知道,它只是个浏览器,这就决定了它的安全性设计仅满足于浏览器本身的需求。
    所以涉及到敏感信息的情况,我通常不会使用普通浏览器,比如密码管理。

    不过不管怎么说,你讲的也都不属于 HTTPS 的功能范围。安全向来都是相对而言的,还是得自己了解其中的原理,然后再根据需求慎重决策。
    locoz
        9
    locoz  
       2023-03-09 12:04:22 +08:00 via Android   ❤️ 2
    @tool2d #4 设备都已经受控了,HTTPS 再牛逼也保不住你啊…
    KSR
        10
    KSR  
       2023-03-09 12:05:35 +08:00
    公司的电脑不属于你,你为什么要在不属于你的设备上登录你的账号?

    如果是你个人的电脑,你可以拒绝网管的要求。
    tool2d
        11
    tool2d  
    OP
       2023-03-09 12:07:46 +08:00
    @KSR 说的对,我改用 IE 登录帐号。

    IE 绝对不会把我的 SSL 密钥导出到明文,这点我相信微软。
    cyrbuzz
        12
    cyrbuzz  
       2023-03-09 12:08:33 +08:00
    一楼+1 。

    能操控物理机啥 s 都不好使。

    我都能操控给你电脑加环境变量了,在你证书里赛个其他证书也不是难事。
    binux
        13
    binux  
       2023-03-09 12:11:38 +08:00 via Android   ❤️ 4
    @tool2d IE 确实不会导出到明文,因为为了看你的通信内容,监控软件压根就不需要 SSL 密钥。。。
    twl007
        14
    twl007  
       2023-03-09 12:15:14 +08:00 via iPhone
    @tool2d 公司不需要这么 low 的手段
    tool2d
        15
    tool2d  
    OP
       2023-03-09 12:16:07 +08:00   ❤️ 2
    @binux 如果是中间人代理,我反倒不怕,在 chrome 看一下网站根证书就知道是被监控了。

    我怕的是在自己不知情的时候,被监控。

    以前看 HTTPS 文档有说到,内存里的握手密钥,在建立连接后,都是需要马上销毁的,chrome 怎么还能保存到明文呢,真是晕过去。
    binux
        16
    binux  
       2023-03-09 12:17:16 +08:00 via Android   ❤️ 2
    @tool2d 你不是去用 IE 了吗?
    0o0O0o0O0o
        17
    0o0O0o0O0o  
       2023-03-09 12:17:19 +08:00 via iPhone
    这不是 https 保障的范围。
    iClass
        18
    iClass  
       2023-03-09 12:26:30 +08:00 via Android
    最好的浏览器是自研浏览器。由于只有一个地球,基于能量守恒原则,谷歌今年必须趴下,让微软抬头。
    dcsuibian
        19
    dcsuibian  
       2023-03-09 12:28:17 +08:00
    用得着配置环境变量,公司直接给你装个证书,不行直接给你录屏

    你连电脑的控制权都没有,赖我一个小工具,我也很无奈啊
    tomczhen
        20
    tomczhen  
       2023-03-09 12:37:11 +08:00 via Android   ❤️ 28
    ssl 确实不安全,只要有人拿刀架我脖子上,我啥都说了。
    kop1989smurf
        21
    kop1989smurf  
       2023-03-09 12:42:39 +08:00
    系统安全,是要有一个场景前提和既定目的的。
    并不是所有的框架设计,首要目的都是“绝对安全”。因为这样成本太高,而且适应面太小。

    书归正传,https 就是一个针对传输领域的安全协议,他只负责传输层面上的安全,而且是相对安全(破解成本大于破解后的收益)。

    chrome 的部分设计确实相对比较激进,或者说懒散。但其依然遵循的是“相对安全”和“场景设计”这两个原则。
    比如楼主举例的“明文密码”,“明文 ssl”,其安全逻辑和现实中的钥匙链没什么区别。

    如果能接受裤兜里揣钥匙没问题,那么理应来讲 PC 中存明文也没什么问题。
    mrcn
        22
    mrcn  
       2023-03-09 12:44:51 +08:00   ❤️ 9
    你都装监控软件了,还费什么劲拿 SSL ,直接监控你屏幕,直接 hook 你浏览器拿网页,有的是办法搞你。
    你能说出这话说明你完全没理解 HTTPS 安全在哪里。
    tool2d
        23
    tool2d  
    OP
       2023-03-09 12:50:40 +08:00
    @kop1989smurf "如果能接受裤兜里揣钥匙没问题,那么理应来讲 PC 中存明文也没什么问题。"

    不是的,chrome 保存的是客户端随机数和服务器端随机数。

    什么叫随机数?就是为了让黑客无法预测的数字,可 chrome 都明文保存到磁盘上了,就自然失去了“随机”的作用。

    这种明显开发者向的工具,又比较数据敏感的功能,chrome 就不应该默认开启。

    IE 这点就很好,SSL 握手密钥只存在内存里,用完就销毁,谁都别想存到硬盘上。
    StarRail
        24
    StarRail  
       2023-03-09 12:53:16 +08:00
    再说一个吓人的,据统计一半使用 CDN 的网站采用了 CloudFlare CDN 。HTTPS 端到端加密到 Cloudflare 这里就透明的,与国际间谍组织无缝共享数据 :P
    tool2d
        25
    tool2d  
    OP
       2023-03-09 12:55:10 +08:00
    @mrcn "说明你完全没理解 HTTPS 安全在哪里。"

    在我眼里的安全,就类似苹果手机加密,官方来了也没办法解锁。

    chrome 这种静默导 SSL 密钥,明显是给 https 破解留了一个后门。我不想要什么后门,要调试代码,可以用自签名证书。

    我就希望 https 加密后的数据,谁都看不见,包括我自己!
    adoal
        26
    adoal  
       2023-03-09 13:19:43 +08:00
    文不对题,不安全的明明是 Chrome 这个具体浏览器的密钥日志行为,又不是 HTTPS 本身。
    tool2d
        27
    tool2d  
    OP
       2023-03-09 13:29:04 +08:00   ❤️ 2
    @adoal 因为不仅仅是 chrome ,包括 firefox 和一大堆套皮 chrome 浏览器,都会有类似行为,都用同一个环境变量名。

    不知道 edge 加了 chrome 内核会有什么表现,还没尝试。反正我只知道 ie 内核是 100%安全的。
    adoal
        28
    adoal  
       2023-03-09 13:29:50 +08:00
    我倾向于认为是开发人员脑子抽筋导致的 bug ,而不是后门。这个是 Chrome 开发人员为了方便调试 Chrome 本身用的,不是给业务系统的 web 开发人员调试网站用的,跟你说的“要调试代码,可以用自签名证书”没关系。
    LokiSharp
        29
    LokiSharp  
       2023-03-09 13:47:06 +08:00
    都能设置环境变量了,也就没什么隐私了把
    adoal
        30
    adoal  
       2023-03-09 13:49:57 +08:00
    经过搜索,这个环境变量是来自 Netscape NSS 库。从 NSS 3.24 开始,用 Makefile 构建的默认关闭,用 build.sh 调用 gyp 构建的仍然启用。Firefox 官方版本重新启用了,而 Debian 拒绝启用。

    有说 OpenSSL 也遵循了 NSS 的这个惯例。但是细节我还没搞清楚。
    dqzcwxb
        31
    dqzcwxb  
       2023-03-09 13:53:35 +08:00
    没有绝对的安全,只有相对的安全
    levintrueno
        32
    levintrueno  
       2023-03-09 13:56:26 +08:00
    你用 IE ,觉得 HTTPS 安全。IE 外,觉得 HTTPS 不安全。
    那么,问题出在 HTTPS 上了嘛...
    leonshaw
        33
    leonshaw  
       2023-03-09 13:57:12 +08:00   ❤️ 4
    不来个 LD_PRELOAD 呢
    lambdaq
        34
    lambdaq  
       2023-03-09 13:58:53 +08:00
    https 是否安全是跟。。。。。http 比吧?

    你 http 甚至都不需要 SSLKEYLOGFILE 呢,亲。
    lambdaq
        35
    lambdaq  
       2023-03-09 14:00:25 +08:00   ❤️ 1
    你可以打开 chrome.exe 二进制,找到 SSLKEYLOGFILE ,改成别的。
    Helsing
        36
    Helsing  
       2023-03-09 14:01:02 +08:00 via iPhone
    @i863 #24 你确定?那 CloudFlare 就是中间人了,谁还敢用?
    Seanfuck
        37
    Seanfuck  
       2023-03-09 14:05:56 +08:00
    @Helsing 中间人需要客户端安装和信任证书
    hxy91819
        38
    hxy91819  
       2023-03-09 14:09:33 +08:00
    我就觉得楼主考虑的有道理。现在很多所谓的“零信任”设计思路,也是不相信任何中间协议的安全性。
    idontnowhat2say
        39
    idontnowhat2say  
       2023-03-09 14:10:31 +08:00   ❤️ 1
    @Helsing cdn 基本都是这样的,或多或少,不然你 ssl 加密的请求了咋给你加速
    kaedeair
        40
    kaedeair  
       2023-03-09 14:10:47 +08:00
    @tool2d 25# 是真的苹果官方不能解锁,还是官方不想让公众知道他们能够解锁
    没有绝对安全的系统
    idontnowhat2say
        41
    idontnowhat2say  
       2023-03-09 14:16:40 +08:00   ❤️ 1
    https 是个通信协议,跟你本地安全不安全和这个有啥关系,你能都在 client 端操作了,基本就是所见即所得。导出 SSLKEYLOGFILE 只不过是 ssl 库的一个方便本地抓包调试的特性罢了。 你认真说的话,在客户端那没啥安全的了,就算没有 SSLKEYLOGFILE 也能有 100 种方法获取到你的通信内容,用 epbf hook 系统调用,一切皆可见。
    Helsing
        42
    Helsing  
       2023-03-09 14:17:27 +08:00 via iPhone   ❤️ 1
    翻完帖子才明白楼主说的是 https 中的协商出来的对称加密密钥可以导出来

    感觉楼主确实没太理解 https ,https 安全的前提是设备必须安全可信,没有这个前提,哪来的安全

    你提的问题只能表明 Chrome 不安全,而不是 https 不安全

    另外,苹果手机加密,如果加密过程中也像 Chrome 能导出密钥或者留有后门什么的,一样也是不安全的,并不存在什么绝对安全……
    Helsing
        43
    Helsing  
       2023-03-09 14:20:48 +08:00 via iPhone
    @Seanfuck #37 我知道啊,所以我很好奇 https 怎么到 CDN 就透明了,这不是很离谱吗
    leoleoleo
        44
    leoleoleo  
       2023-03-09 14:24:24 +08:00
    ssl 或者 tls 那是保证传输层面安全的技术啊,本地系统层面有问题,数据还没发出去就被拿走了,这能怪传输层面的安全技术吗。一旦系统层面不安全了,浏览器啥机制都不顶用啊,不管数据存在硬盘还是内存,一样能读取呀,23 楼 op 还在说存储机制和随机数的事,大哥了解一下 ssl 技术,随机值和协商出来的加密密钥都是一次性的,每一次通信完成后就没用了,这一点上你存在内存和存在硬盘上有什么区别啊。
    yolee599
        45
    yolee599  
       2023-03-09 14:24:50 +08:00
    SSL 可以保证“传输过程中”的安全,数据包已经到了你的电脑,那这个数据包已经不归 SSL 管了。就像运钞车,钱已经运到了银行,并且交到了银行手上,在银行被别人持枪抢劫了是不归运钞车管的。
    Helsing
        46
    Helsing  
       2023-03-09 14:26:05 +08:00 via iPhone
    @idontnowhat2say #39 看了一下 CDN 的原理,确实如此
    newmlp
        47
    newmlp  
       2023-03-09 14:37:50 +08:00
    chrome:别人都能改你环境变量,读你本地文件了,你告诉我没保障你的安全?
    tool2d
        48
    tool2d  
    OP
       2023-03-09 14:43:31 +08:00
    @leoleoleo "大哥了解一下 ssl 技术,随机值和协商出来的加密密钥都是一次性的,每一次通信完成后就没用了,这一点上你存在内存和存在硬盘上有什么区别啊。"

    是一次性的,所以 chrome 把每一次通讯的 ssl 密钥都保存下来了。你客户端发起了 100 次请求,chrome 就老老实实保存 100 份密钥。以确保网管在出口网关上,抓取的所有加密数据包,都能正确解密。
    CatCode
        49
    CatCode  
       2023-03-09 14:50:10 +08:00
    你给 Chrome 启动套个娃呗,整个脚本启动 Chrome 前先把 SSLKEYLOGFILE 变量设为空,不就行了吗
    AA5DE3F034ACCB9E
        50
    AA5DE3F034ACCB9E  
       2023-03-09 14:52:11 +08:00
    我觉得 OP 讲得有道理,我对 HTTPS 了解不多,但如果提供容易获取 SSL Key 的方式,我觉得不应该,稍微加点门槛都好过随便获取吧
    yannxia
        51
    yannxia  
       2023-03-09 14:58:05 +08:00
    @AA5DE3F034ACCB9E 和 Chrome 有关系,和 HTTPS 有啥关系呢,Chrome 提供一个方便 Debug 的功能,你别开呗,但是你电脑被控制了,开了这个功能,但是主要问题是你的电脑被控制,就算 chrome 没提供这个功能也有其他办法搞定。
    geelaw
        52
    geelaw  
       2023-03-09 15:06:33 +08:00
    不太确定 OP 在期待什么。公司的电脑是公司控制的,公司可以不间断查看你的内存,那么 Chrome 记录不记录也没什么区别,你能做的就是不使用公司电脑做不能让公司知道的事情。
    mrhhsg
        53
    mrhhsg  
       2023-03-09 15:17:26 +08:00
    以前感觉飞机很安全,最近有一次我下了飞机扫了个共享单车骑回家居然摔了一跤。。。仅需要一辆共享单车就能引起飞机乘客的受伤,让人非常没有安全感
    byte10
        54
    byte10  
       2023-03-09 15:18:51 +08:00
    @tool2d 我也是醉了,跟你导出 ssl 有啥关系。网管直接让你安装 信任根证书就完事啦。思维还是没转过来。

    之前还有一个同事说,浏览器的 cookie 被别人的导出去怎么办? 账号岂不是被别人登录上啦?你电脑都没有设置高强度密码,肯定会被偷看到啦。所以现在很多都是指纹解锁。很多支付都要二次确认。

    太多这样无逻辑的担忧。。。
    Ericcccccccc
        55
    Ericcccccccc  
       2023-03-09 15:32:02 +08:00
    公司电脑装了监控软件可以做到 10s 截一次屏幕的. 你要担心的东西不应该限制在 https 上.
    Promtheus
        56
    Promtheus  
       2023-03-09 15:33:53 +08:00
    https 是防止的网络嗅探吧,你这直接在源点就被黑了这还搞个毛线
    justfindu
        57
    justfindu  
       2023-03-09 15:35:26 +08:00
    你这都已经跳出互联网范畴了呀.
    8355
        58
    8355  
       2023-03-09 15:40:13 +08:00
    linux 获取了 root 权限
    windows 获取了 administrator 权限

    还有什么是做不到的吗 做不到只是技术能力问题 不是限制问题
    反向理解这是我个人电脑有 administrator 我想干啥计算机能做到非不让我干那对吗...

    好像租了房东的房子换了把锁 房东就进不来了吗...
    sujin190
        59
    sujin190  
       2023-03-09 15:59:42 +08:00
    都能给你设 SSLKEYLOGFILE 环境变量了,直接给你搞个根证书不更好么,这下不管你是不是 chrome 都随便看了,所以都物理突破了既然已经有更容易使用的方法,那么 chrome 搞不搞还有啥意义,而且设置这个现实也确确实实会有这个需求啊
    fregie
        60
    fregie  
       2023-03-09 16:12:26 +08:00
    都能跑到你电脑上为所欲为了,这就跟网络协议没关系了
    bing1178
        61
    bing1178  
       2023-03-09 16:13:33 +08:00
    你觉得不安全 那就不安全吧
    fields
        62
    fields  
       2023-03-09 16:16:26 +08:00
    跟 https 有什么关系  https 是传输过程 浏览器是另外的领域了
    newmlp
        63
    newmlp  
       2023-03-09 16:17:28 +08:00
    @AA5DE3F034ACCB9E 在本地已经不安全的情况下,这种门槛毫无意义,人家不能在你系统里装一个自签名证书,一样抓你数据,甚至比环境变量还简单
    Aixtuz
        64
    Aixtuz  
       2023-03-09 16:23:10 +08:00
    再安全的锁,也挡不住劫匪架刀让我掏钥匙。
    churchmice
        65
    churchmice  
       2023-03-09 16:26:27 +08:00
    又是想搞个大新闻,还以为 ssl 被攻破了呢
    你这问题恰好说明 https 的重要性
    iX8NEGGn
        66
    iX8NEGGn  
       2023-03-09 16:40:58 +08:00   ❤️ 1
    本地安全关 https 什么事,人家保障的通信链路的安全,退一万步讲,这是浏览器的策略,和 https 也完全不搭边
    yaphets666
        67
    yaphets666  
       2023-03-09 16:44:45 +08:00
    这和直接把你绑票了,问你信息有啥区别。你要这么说,密码这个东西根本就没用,我直接打开你浏览器,复制一份你的参数就可以了。
    luoshuhui
        68
    luoshuhui  
       2023-03-09 16:46:23 +08:00
    没明白“ssl 密钥”是指什么?
    dobelee
        69
    dobelee  
       2023-03-09 16:52:07 +08:00
    谷歌认为你的 PC 被网管入侵。
    tool2d
        70
    tool2d  
    OP
       2023-03-09 16:55:13 +08:00
    @luoshuhui "没明白 ssl 密钥是指什么?"

    https 传输,底层一般会用 AES 这类的算法加密数据。

    SSL 为了保证安全性,原则上每一次新的请求,都会要求客户端更换新密钥。

    而 chrome 的 SSLKEYLOGFILE ,会把每一次更换的密钥,都保存下来。有了密钥后,就相当于网管在出口抓包,抓的是明文 http 。
    JKeita
        71
    JKeita  
       2023-03-09 16:57:43 +08:00
    你这话说的,你都电脑上被监控了,还有啥隐私可言,跟 https 有啥关系。
    AA5DE3F034ACCB9E
        72
    AA5DE3F034ACCB9E  
       2023-03-09 16:59:18 +08:00
    @yannxia 对,我想说的是 Chrome 。虽然有人拿刀架在脖子上做比喻,但我还是无法理解把钱放在电视抽屉的操作,假如有更好的保险箱的情况下,或者是暗格
    JKeita
        73
    JKeita  
       2023-03-09 16:59:42 +08:00
    @tool2d 你这话说的,及时苹果手机你把解锁密码跟别人说了不也一样。
    bluedawn
        74
    bluedawn  
       2023-03-09 17:08:42 +08:00 via iPhone   ❤️ 3
    草,点进来前还以为 https 这么多年了居然还能有漏洞
    点进来以后“哦这样啊那没事了”。
    hankai17
        75
    hankai17  
       2023-03-09 17:09:15 +08:00
    让浏览器走代理 再加密一次
    tool2d
        76
    tool2d  
    OP
       2023-03-09 17:14:09 +08:00
    @JKeita "你这话说的,及时苹果手机你把解锁密码跟别人说了不也一样。"

    两者完全不一样的。

    1. 拿刀架脖子,让我交待苹果锁屏密码,我认怂。(公司让强制安装根证书)

    2. 在办公室屋顶安装一百倍放大镜,偷看我解锁屏幕的密码,我不服。(用环境变量静默导出,大部分人都不知道还有这个参数)
    LXGMAX
        77
    LXGMAX  
       2023-03-09 17:38:11 +08:00
    我直接用 curl 上网,人脑渲染 page 再 post
    neptuno
        78
    neptuno  
       2023-03-09 17:46:44 +08:00
    可能后面的同事是卧底呢,偷偷看你电脑屏幕
    Metre
        79
    Metre  
       2023-03-09 18:19:56 +08:00
    https 不是做加密的吧? https 是防篡改
    要加密 自己套代理
    banmuyutian
        80
    banmuyutian  
       2023-03-09 18:26:59 +08:00
    强盗都跑进家里了你怪管家放东西不够严实……
    duanxianze
        81
    duanxianze  
       2023-03-09 18:29:31 +08:00
    @tool2d 那我在你苹果上装个监控软件,你还安全吗?
    n18255447846
        82
    n18255447846  
       2023-03-09 18:56:29 +08:00
    ssl 防的是中间人攻击,防不了内鬼
    Vh5g6zZU
        83
    Vh5g6zZU  
       2023-03-09 19:17:19 +08:00
    有点像 KeePass 前段时间被人骂有漏洞,你运行环境本身都不安全了还纠结什么呢
    kkocdko
        84
    kkocdko  
       2023-03-09 19:22:29 +08:00 via Android   ❤️ 2
    你设置环境变量,甚至可以:

    使用 LD_PRELODE 强行要求所有程序先执行你的代码。

    那么你在说什么?
    huijiewei
        85
    huijiewei  
       2023-03-09 19:28:02 +08:00
    世界上有安全的东西么

    加密?

    打死也不说?
    AlisaDestiny
        86
    AlisaDestiny  
       2023-03-09 19:28:56 +08:00 via Android   ❤️ 2
    有点无语,你这有点像用微信和朋友语音,结果说的话全被你旁边的同事听见了,然后你说微信一点也不安全。
    IvanLi127
        87
    IvanLi127  
       2023-03-09 19:30:04 +08:00 via Android
    这关 https 啥事。。。。。这标题起得很引战啊
    sl0000
        88
    sl0000  
       2023-03-09 19:38:15 +08:00
    https 解决的不是你这个问题呀, 你这个问题是要装一个安全的系统和安全的应用环境才行
    mangoDB
        89
    mangoDB  
       2023-03-09 19:58:46 +08:00
    - 管理软件定时截屏
    busier
        90
    busier  
       2023-03-09 20:06:12 +08:00
    楼主脑子瓦特了,Chrome 的问题怪到 SSL/TLS 头上!
    ipcjs
        91
    ipcjs  
       2023-03-09 22:09:50 +08:00
    IE 确实非常安全😅
    stillyu
        92
    stillyu  
       2023-03-09 22:26:40 +08:00
    相当于你当着警察的面用卫星电话招呼同伙
    Admstor
        93
    Admstor  
       2023-03-09 23:18:54 +08:00   ❤️ 1
    楼主理解错了安全
    以及 https 的安全

    https 保护的是网络中传输的安全问题
    并不保护你电脑本地的数据安全

    你说的问题是你电脑本地的安全

    一个整体安全的系统,是由多个安全模块共同组成的
    每个模块之间往往也是安全漏洞容易爆发的点

    根签名也可以直接给伪装网站发签名
    你作为终端用户也不是一下子就可以看穿,chrome 也没提示的

    所以无论如何也是需要时刻警惕的
    none
        94
    none  
       2023-03-09 23:50:58 +08:00
    这个其实也不是 chrome 的问题,应该是底层协议遵守了某个开源的代码,Firefox 也会读取这个环境变量,就是为了方便调试用的。
    这个环境变量也就相当于是一个开关,需要用的话自己去配置上。其他人如果有能力在你电脑上偷偷设置这个环境变量,那就不只是浏览器不安全,是所有软件都不安全。
    lqhx
        95
    lqhx  
       2023-03-10 00:24:56 +08:00
    电脑都被入侵了,还谈什么安全?
    就算不解析你的流量,直接粗暴录屏都知道你在干啥
    amlee
        96
    amlee  
       2023-03-10 00:39:01 +08:00
    你家钥匙都丢了,你还操心门锁牢不牢
    levelworm
        97
    levelworm  
       2023-03-10 00:42:43 +08:00 via Android
    公司电脑不做个人方面的使用。我连常用的论坛都重新注册账号
    Mystery0
        98
    Mystery0  
       2023-03-10 00:48:16 +08:00 via Android
    没铜币了?
    lesismal
        99
    lesismal  
       2023-03-10 01:52:41 +08:00
    先搞清楚,通信协议相关的安全算法主要是防止信道监听者。这类似战争年代无线电被监听、加密防破解。

    不是用来防止具有密钥的通信两端的,因为两端本来就各自有密钥。所以这种有机器权限的就不适合 OP 讨论范围。

    另外,如果想绕过,你装个虚拟机,在虚拟机里跑,应该就可以了,如果想更狠,虚拟机里再加上加密隧道、VPN 。。。
    fuzzsh
        100
    fuzzsh  
       2023-03-10 07:12:05 +08:00 via Android   ❤️ 4
    看 title 还以有 zero day
    看到内容
    ……
    sslkeylogfile 又不是近期才加上的,已存在多少年的旧手法。。

    OP 说 IE 安全?
    …… Windows schannel 了解下,同样 client 无感拿 exchange key

    大型软件的功能都置有 access point ,能接触到 terminal 做任何安全都没用,总有手段拿出来,没绝对的手法
    况且窃取 TLS 在 server/client 有多种,远不止于当前,dump memory/function hooking 等等很多无感的方法,都有成熟的工具,IT 要搞你,手法千千万


    回复前翻了下 OP 历史帖,发现是同步公司代码到个人手机的拿位。。🌚
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2566 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 04:55 · PVG 12:55 · LAX 20:55 · JFK 23:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.