部分 HTTPS 无任何意义

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 3800 天前的主题，其中的信息可能已经有所发展或是发生改变。

就像 WebQQ 登录认证用 HTTPS，其它使用 HTTP （包含JS），只要劫持篡改了其中一个关键的 JS，就可以获取到页面上用户输入的QQ号和密码了（甚至还能知道用户先输入号码还是密码），之后至于向哪发送完全随意。

webqq

劫持

篡改

28 条回复 • 2014-06-18 17:04:02 +08:00

jsonline

2014-06-16 09:50:24 +08:00

是哒，所谓半吊子说的就是这种情况。

dong3580

2014-06-16 09:53:13 +08:00

我觉得这个问题类似于，你把你当前的浏览器登录的某个论坛cookie中的userid改为别人的，然后你刷新看看是不是进入了别人的账户了。

treo

2014-06-16 10:13:55 +08:00

类似的，登陆时JS加密用户密码再发送也没什么意义

treo

2014-06-16 10:16:04 +08:00

Javascript Cryptography Considered Harmful
http://matasano.com/articles/javascript-cryptography/

lichao

2014-06-16 10:38:57 +08:00

类似的，页面本身是走 HTTP，登录时 Ajax(JSONP) 走 HTTPS 也是无意义的

est

2014-06-16 10:43:33 +08:00

> 只要劫持篡改了其中一个关键的 JS

如果都可以劫持了，自己搭个https服务器不是照样可以插入js？

lichao

2014-06-16 10:47:22 +08:00

@est 你自己搭的，浏览器会报警的报么！

est

2014-06-16 10:49:01 +08:00

@lichao 连CA一锅端了呢？

lichao

2014-06-16 10:51:38 +08:00

@est 那可能性。。。

dndx

2014-06-16 10:55:28 +08:00

@est 他的意思是说如果资源不走 SSL，中间人就可以直接替换资源，根本没 SSL 的事。

est

2014-06-16 11:11:39 +08:00

@dndx 这个说的是对的。混杂https，等于没有https。攻击门槛比较低。

不过，如果能中间人，怎么都不安全啊。side channel 太多。除非你是个hsts pin狂。

dndx

2014-06-16 11:15:15 +08:00

@est SSL 重要的功能之一就是身份认证，中间人不替换证书啥也看不懂，替换证书了浏览器会直接报警。

如果强制 SSL，中间人最多也就是阻断通讯，但是还是无法获得你的信息，总比被嗅探了要好。

est

2014-06-16 11:39:44 +08:00

@dndx 理论是这样，大家都知道。但是你去看n年前sohu mail那个https中间人。。。。@奶罩搞的。

如果要搞你，肯定是搞你的短板。ssl 长板再长无法弥补短板。PKI 的短板多了去了。。。。

dndx

2014-06-16 11:43:20 +08:00

@est Sohu 这种攻击想成功，前提条件太多，在大多数情况下不具可操作性。

不管怎么说，在现在这种互联网环境下，SSL 还是最有效的防御方式。

phyng

2014-06-16 12:25:09 +08:00

@dndx 东南大学？

heiher

2014-06-16 13:03:54 +08:00

@est 没有证书无法做有效的中间人攻击。

sdysj

2014-06-16 13:07:55 +08:00

很明显啊，只有天朝才那么多半https网站，原因嘛，public security啊哈哈

iannil

2014-06-16 14:18:42 +08:00

58的登录就伪https，使用js加密用户名密码的方式登录，无实际意义。

tabris17

2014-06-16 16:42:44 +08:00

增加难度而已

20150517

2014-06-16 19:02:51 +08:00 via Android

等一下，你js是http但放在https，连ie都会报警的啊，说有些内容没有加密什么，你自己确认是你自己问题，你可以选择不登录

heiher

2014-06-16 20:50:07 +08:00

@20150517 说的是页面主要是 HTTP 的，而有部分被认为是重要的传输是 HTTPS 的。

alexapollo

2014-06-16 20:53:28 +08:00

很早之前有碰到过这个报警，原来是这个意思

dorentus

2014-06-16 21:18:14 +08:00

其实中间人攻击有些情况下还是比较容易出现的。

ISP 自己搞的插广告的就不说了，比如公共 wifi 热点，没有隔离措施，同网络里的人搞个 arp 欺骗，应该就可以把使用 http 的关键的 js 劫持到自己那里了，然后不管是捕获用户在当前页面的输入、还是模拟用户行为发点内容，都随意了……

对用户来说，只是浏览器有提示页面上有没加密的资源（但是只是警告，又不会像证书不对那样直接阻止），基本没啥意义。是，警觉的用户可能会选择不登录，但是你这站点又没有提供其它安全的登录方式……于是就只能回家才敢登录了么？……

lightening

2014-06-16 22:10:57 +08:00

Web QQ 不是全站 HTTP 嘛，哪有什么 HTTPS？

20150517

2014-06-16 22:46:45 +08:00 via Android

@heiher 不是吧？webqq页面是http然后部分https？那也无语了

xierch

2014-06-17 00:12:34 +08:00

登录页整页 HTTPS 还好些，只是每次登录时需要用户注意一下，密码不会泄漏的不过 cookies 还是保护不了..
支付宝全站 HTTPS。不过 HTTP 转 HTTPS 用 301 可能更好一些，301 浏览器会缓存。
淘宝就很随便了，只有（部分？）登录页面是 HTTPS..

支付宝绑定淘宝 Considered Harmful（

jakwings

2014-06-17 07:03:01 +08:00

至少可以防止 ISP 偷偷插广告。

julyclyde

2014-06-18 17:04:02 +08:00

页面https、元素http，浏览器会报警的吧