V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
whilgeek
V2EX  ›  问与答

关于“蹭免费 wifi 有没有风险”的争论,@奥卡姆剃刀 和@yuange1975 谁说的更有道理一些?

  •  
  •   whilgeek · 2014-10-03 13:46:31 +08:00 · 8667 次点击
    这是一个创建于 3702 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天看到他们吵了起来,相关微博: http://weibo.com/1820201245/BpOlsr0NY
    76 条回复    2014-10-05 22:15:06 +08:00
    dangge
        1
    dangge  
       2014-10-03 14:01:19 +08:00
    不知道网银的安全性能 但是我知道像中国移动的CMCC 做个假热点来钓账号密码并不难。。。。
    别问我怎么知道的!
    rainy3636
        2
    rainy3636  
       2014-10-03 14:02:25 +08:00
    不是很懂,不过用免费WiFi挂着vpn应该比较安全吧?
    mornlight
        3
    mornlight  
       2014-10-03 14:02:26 +08:00
    没什么好讨论,袁哥是对的。

    奥卡姆剃刀质疑的精神值得称赞,说得很多话也有道理,但是他毕竟不是搞安全这一行的,很多东西还是不懂。他对https的理解也有偏差,以为https加密是坚不可破的。余弦和tk教主也已经大致表明了态度。
    另外,按袁哥的水平,国内有资格在技术上挑战他的没几个人。
    magine
        4
    magine  
       2014-10-03 14:15:45 +08:00
    凡是没从国外传入,而是国内媒体首创的警告,都值得怀疑。 好黑……
    FinalDream
        5
    FinalDream  
       2014-10-03 14:50:08 +08:00
    奥卡姆剃刀多次在自己毫不了解的领域大放厥词,而且如果有人跟他讲道理他往往是纯喷,最擅长的就是链接中的这一招,比方舟子还要弱100倍
    whilgeek
        6
    whilgeek  
    OP
       2014-10-03 15:01:13 +08:00
    @mornlight 挺想看看高手实际如何操作的,但是袁哥拒绝了,略失望
    hjc4869
        7
    hjc4869  
       2014-10-03 15:10:54 +08:00 via iPhone
    蹭wifi的时候时时刻刻记住挂ipsec就行了。
    mornlight
        8
    mornlight  
       2014-10-03 15:12:25 +08:00
    gamexg
        9
    gamexg  
       2014-10-03 15:12:29 +08:00
    WiFi流量劫持:网站JS脚本缓存投毒!长期控制!浏览任意页面即可中毒!
    http://lcx.cc/?i=4426
    ytf4425
        10
    ytf4425  
       2014-10-03 15:16:28 +08:00
    @gamexg 说的正是我想发的,短期取得各种包还不是问题,长期控制才是最危险的
    whilgeek
        11
    whilgeek  
    OP
       2014-10-03 15:16:43 +08:00
    @mornlight @gamexg 大赞!稍后仔细看看
    jings
        12
    jings  
       2014-10-03 15:39:24 +08:00 via Android
    js污染 淘宝也能搞定
    typcn
        13
    typcn  
       2014-10-03 15:42:31 +08:00
    @mornlight 难道验证证书指纹也可能被劫持? 求教 我不懂这个
    jings
        14
    jings  
       2014-10-03 15:46:18 +08:00 via Android
    最早是09年的一篇文章 很详细
    关键词就是 js缓存投毒
    ehs2013
        15
    ehs2013  
       2014-10-03 15:51:12 +08:00
    就算真的是公共部门开的 Wi-Fi,也有 MITM 的风险(ARP 劫持)
    jings
        16
    jings  
       2014-10-03 15:51:30 +08:00 via Android
    @typcn http–投毒-登陆失败
    而正常是http-https-登陆成功
    mornlight
        17
    mornlight  
       2014-10-03 16:06:59 +08:00
    @typcn 谈到中间人攻击大家都会想到https,而实际上已经有一个东西叫SSLStrip
    另外,你也可以看看这个http://weibo.com/2404835845/BpPKxnbcn

    蹭公共wifi有个很大的风险来源是有不少人与你在同一个局域网里了,这种环境和你自己在家里接入可信的私有wifi不一样。
    alexyangjie
        18
    alexyangjie  
       2014-10-03 16:31:48 +08:00
    @mornlight SSLStrip并没有破解SSL,而是利用人的安全意识薄弱,将HTTPS变成HTTP。只要用户能懂得访问安全网站的时候识别HTTPS(包括安全锁头标识),就能防范这种攻击。
    blacktulip
        19
    blacktulip  
       2014-10-03 16:42:04 +08:00
    那么多页的讨论中间还有贼多的纯喷,谁有空看完,求 TLDR
    mornlight
        20
    mornlight  
       2014-10-03 16:45:52 +08:00
    @alexyangjie SSL加密理论上不能破解,这个目前是没有问题的。但是原博认为网银是用的https所以肯定是安全的,拿不到密码,就不对了。即使浏览器显示是安全的https,仍然有手段拿到数据。
    mornlight
        21
    mornlight  
       2014-10-03 16:48:08 +08:00
    @blacktulip 目前这事的状态是,掺和进了不少国内安全圈的高手表示呵呵,顺带王思聪也插了一脚,刀刀关闭评论了。
    看起来他也像是个一根筋的人。
    jasontse
        22
    jasontse  
       2014-10-03 17:07:40 +08:00 via iPad
    首先双方的终端应该是靠谱无问题的,然后端到端的 SSL 必须是强健的,才谈得上安全。这样的前提下中间的链路确实没有那么重要。JS 缓存投毒也只适用于加载了不安全的 HTTP 资源的前提下。
    GhostFlying
        23
    GhostFlying  
       2014-10-03 17:18:55 +08:00 via Android
    感觉问题还是在于一般用户,包括很大一部分程序员,并不会一直检查确认https连接的证书(这个相对好点,一般假证书浏览器会有警告),页面内不加密资源以及记得登录页面要有SSL加密

    不过说实话一直记得检查这种东西是蛮烦的,偶尔忘记也是不奇怪的
    Monad
        24
    Monad  
       2014-10-03 17:28:54 +08:00 via iPhone
    就想知道挂着vpn安全不……
    cjjia
        25
    cjjia  
       2014-10-03 17:38:16 +08:00
    我只知道我用的网银需要手机验证码,知道密码也没用。
    virusdefender
        26
    virusdefender  
       2014-10-03 17:47:08 +08:00
    他也敢去挑战袁哥。。
    hljjhb
        27
    hljjhb  
       2014-10-03 17:52:50 +08:00
    @gamexg HTTP之所以能实现转发,得益于头部有个host字段;而非HTTP协议,甚至包括HTTPS,我们只能收到一堆二进制数据,然后就不知道的该交给谁了。

    哪里谈到https不安全了?
    Cwind
        28
    Cwind  
       2014-10-03 17:57:50 +08:00
    原来争论的焦点是能否通过wifi获取银行卡密码
    1314258
        29
    1314258  
       2014-10-03 18:06:17 +08:00 via Android
    我觉得袁哥不一定需要在https入手你知道嘛?凭借他对windows的熟悉,随时溢出你的ie,装个木马还不是容易的很?袁哥都上亿身价的人我会乱说?
    LMkillme
        30
    LMkillme  
       2014-10-03 18:10:11 +08:00
    yuange可是一哥啊。。。在网安话题上,不信yuange,信奥傻那个门外汉么?
    loading
        31
    loading  
       2014-10-03 18:46:46 +08:00
    吊个QQ密码一点问题都没有!


    多傻的陷阱都有人中!(这里的人在网络常识上比普罗大众高不少的,其实我们比很多人都聪明!)
    crab
        32
    crab  
       2014-10-03 19:03:14 +08:00
    @mornlight 像QQ 淘宝的密码参数都本地RSA后再POST,这样也能抓到明文吗。
    loading
        33
    loading  
       2014-10-03 19:08:30 +08:00   ❤️ 1
    @crab 做个钓鱼站就可以了。只要有一个人上 www.qq.com 就成功了,因为那是我的钓鱼站!!! 因为连 dns 也是我的。
    Draplater
        34
    Draplater  
       2014-10-03 19:10:57 +08:00
    @mornlight https加密确实是牢不可破的,只是攻击者有可能会想办法不让你建立https
    mornlight
        35
    mornlight  
       2014-10-03 19:22:49 +08:00   ❤️ 1
    @crab 这个我不敢说可不可以,我也不擅长,你可以把思路放宽一点,不要限制在登录正常的网站然后POST数据出去这个环节上,单论https加密当然是不能破的。但可以肯定的是,如果真的有心要针对你个人套出密码,在局域网环境内有的是办法,手机和PC都一样。
    mornlight
        36
    mornlight  
       2014-10-03 19:23:43 +08:00
    @Draplater 这次的讨论话题不明确,其实焦点不应该放在https本身上,而是这个网络环境是极其危险的,入侵和欺骗的方法太多。
    mind3x
        37
    mind3x  
       2014-10-03 20:22:57 +08:00
    @Draplater 听说过中间人攻击没...
    janxin
        38
    janxin  
       2014-10-03 20:23:15 +08:00
    可能入侵的方式很多,针对手机,中间人完全可以胜任。

    但是把问题聚焦一下,只是单纯从通讯链路上搞定支付宝,这个是不可能的,https 2048位证书和验证能够保证支付宝的通讯安全。

    但是手机本身的安全怎么办?
    zzNucker
        39
    zzNucker  
       2014-10-03 20:39:03 +08:00
    门外汉和搞渗透的争,你说信谁的。
    ChiChou
        40
    ChiChou  
       2014-10-03 21:30:23 +08:00
    @Draplater 的确。奥的观点应该是从 SSL 协议本身在密码学上的安全性来说,但这是建立在加密信道成功建立的前提下。在这个场景里,攻击者有太多办法破坏加密信道的创建了。奥太自信了。
    binux
        41
    binux  
       2014-10-03 22:43:14 +08:00   ❤️ 1
    我觉得他们争论的焦点在于,一个说一千次里(虚数)只要有一次能抓到银行卡帐号密码就行,另一个在说你每次都能抓到银行卡密码才算。
    xavierskip
        42
    xavierskip  
       2014-10-03 22:49:04 +08:00
    以我理解的剃刀的意思,

    如果连接是https的话,中间的链路是否安全已经不是很重要了。只要保证https连接是正确的,(银行提供这种安全的连接方式),你的网络数据被攻击者获取,他是无法破解的,因为加密过,从而保障安全。

    从这一点看,连接来路不明的wifi,就算你获取了我的网络数据,我也不怕。

    当然这个个非常单纯的想法,真实的环境远远没有这么简单,攻击者还有更多其他的方式来获取你的信息。


    1.你可以挖系统漏洞来在让别人电脑被你远程操控。

    2.你也可有诱骗小白用户点击安装来路不明的文件来挂马。

    这两种情况,第二种真的是不安全吗?
    Jimrussell
        43
    Jimrussell  
       2014-10-04 00:21:10 +08:00
    奥在本行之外的理论姿势被多次打脸了。不过公开网络里黑产给自己贴金的言论也不是一次两次了。如果奥的微博偏向于实现个人优越感和增加网络话语权,那黑产和安全那一方的言论则偏向于直接利益相关了。

    袁是圈内一哥能说明什么呢?他的理论姿势v2的人不能理解吗?

    最后10万不是怂了吗?而且赌约里面只是说“搞到网银密码”。人家有意识防范了,你随便什么方法搞中间人攻击,都很难了。

    黑出明文密码这种,按我的理解,都是针对大量小白用户的手段,而且黑出来了怎么用也是难题。对银行账户这类来说,除了密码,现金操作过程中的手机验证更是一大麻烦事。除了纯技术方面,你社工花的时间精力可能更多而且收益不能保证。

    像电影里面那种,为了黑一个超级富豪,hacking+社工N个月,然后冒着巨大风险转账成功并逍遥法外的黑客。我不知道在现在的2014年的中国是否还存在。
    Jimrussell
        44
    Jimrussell  
       2014-10-04 00:33:05 +08:00
    我反感黑产嘴炮的原因是,他们很多流行言论的逻辑是:“我们圈里有XX个大神闷声发财了”+“我家后院有一只隐形的喷火龙,你没见过不能证明不存在”。

    而实际上我了解到的闷声发大财的黑产“大神”,其年靠的是早年网游虚拟物品甚至q币“发财”的。然后转行做安全以后故事大家也都懂了。
    revival83
        45
    revival83  
       2014-10-04 01:08:53 +08:00 via iPhone
    @hjc4869 这个指的是vpn吗
    yaoye0o
        46
    yaoye0o  
       2014-10-04 01:12:00 +08:00
    我觉得用猎豹360畅无线什么的连cmcc chinanet挺好
    sdysj
        47
    sdysj  
       2014-10-04 01:31:19 +08:00   ❤️ 1
    那个剃刀就是要丢天朝真正的专家的脸来的,安全这行最幼稚就是在缺乏完备规则的擂台上单挑,扯谈自然就肯定了,而且天朝特色谈论安全最讨厌的就“你现在不能黑掉我,你是装逼”,而不是讨论技术本身可行性,这点天朝安全界就太缺乏,都藏着捏着,真正分享技术的还是不够国外来的多而且规范,剃刀这类人就抓这点赖死,在这个畸形国度希望大家都认识到且尝试改变吧。。。
    ctexlive
        48
    ctexlive  
       2014-10-04 02:08:05 +08:00
    @mornlight 腾讯的这篇文章,讲了国内制作app的时候,为了贪图方便绕过google的标准api,而采用自己验证公共ca证书的代码。结果省却了验证这个缓解而导致丧失安全性。这是人为的错误。
    目前支付宝,UC、opera浏览器等主流可支付的app都不会验证ca证书吗?
    Owenjia
        49
    Owenjia  
       2014-10-04 02:30:34 +08:00
    那个奥卡姆剃刀最后被打脸了还在那嘴硬,最反感的是他的行为,首先是骂人,然后王思聪回复就开始彬彬有礼的称别人王xx先生~~还有对自己不熟悉的领域妄加评论~~
    20150517
        50
    20150517  
       2014-10-04 02:49:57 +08:00 via Android
    看到很多人坚称https密不可破,其实是不对的
    https的安全性取决于证书,和证书链,但现在问题是你能保证所有的证书颁发都是通过合法的证书链?谷歌已经不是第一次发现一些流氓证书颁发机构发不合法证书了,而且你能保证所有证书颁发机构密钥都没泄露过?我随便颁发一个银行域名的证书,一些浏览器照样会以为是合法证书,不过好像firefox29已经开始处理这类问题了
    证书链这一环破了,https安全性从何谈起?
    ryd994
        51
    ryd994  
       2014-10-04 04:25:17 +08:00
    https只是保证传输安全而已。想获得密码方法多得是,不一定就要和https死嗑。
    加密的只是一个通道,进通道前,出通道后,都不是https能管得了的。
    不过现在在外面达WiFi坑人的我觉得还是小毛贼居多。对付这种小毛贼,保证本机基本安全,认准https,拒绝带http资源的https页面,应当是足够的。
    挂l2tp当然更好,前提是备好CA证书。pptp就没啥意思了。
    剃刀这样和yuange死嗑,最后无非就是被证明技术上可以被坑罢了。其实也不意味着公共wifi今后就不能用了,毕竟还有成本受益摆着。
    janxin
        52
    janxin  
       2014-10-04 06:55:45 +08:00 via iPhone
    @ctexlive 当然会
    shen2014
        53
    shen2014  
       2014-10-04 08:17:50 +08:00
    @mornlight

    如果未来都采用Hotspot 2.0技术免费WIFI会更安全。只是目前设备厂商(主要)、运营商不乐意推广。 因为WiFi作为和LTE竞争的技术,WIFI漫游问题一旦解决那运营商真的坐不住了。 WIFI从室内走向室外,LTE从室外走向室内,这条技术路线WIFI明显有优势,美国执意WiFi全频率开放的目的就是为了从内往外攻。 ---------------Wi-Fi CERTIFIED Passpoint于2012年作为一项行业范围的解决方案推出,它优化了热点中的网络接入流程,无需用户在每次连接网络时都进行网络查找和身份识别。通常来说,用户在每次连接网络时均须查找并选择一个网络,然后再请求连接到访问点,而且在多数情况下,用户需要重新输入他们的身份识别凭据。然而Passpoint能自动完成以上整个程序,实现热点网络和移动设备之间的无缝连接,与此同时还能提供最高级别的WPA2安全防护。

    已经支持iOS7终端设备(iPhone5/5s/5c/6/6Plus、iPad3、iPadMini、iPadAir、iPadMiniRetina,iPodTouch第五代)以及运行OSXMavericks的苹果笔记本电脑。
    hjc4869
        54
    hjc4869  
       2014-10-04 10:53:38 +08:00 via iPhone
    @revival83 IKE或者IKEv2或者L2TP over IPSec三种vpn
    mornlight
        55
    mornlight  
       2014-10-04 10:54:33 +08:00
    @ctexlive 连接公共wifi毫无疑问在任何环境下都是危险行为,SSL加密当然应该认为可信,但危险性并不仅仅来自https本身。我现在不想聊这个问题了,某刀新的几条微博简直是不要脸,不值得为这种人扯。
    jasontse
        56
    jasontse  
       2014-10-04 11:26:20 +08:00 via Android
    @shen2014
    802.1x 早就不是什么新鲜事情,公共场合除了 CMCC-AUTO 我还没见过哪个 WiFi 这么干。
    virusdefender
        57
    virusdefender  
       2014-10-04 12:12:12 +08:00
    @ctexlive 支付宝,UC、opera浏览器这几个我不清楚,我反正知道半年前很多银行的app是存在上面的那个漏洞。
    revival83
        58
    revival83  
       2014-10-04 12:45:22 +08:00 via iPhone
    @hjc4869 请问前辈购买vpn的时候如何判断是哪种?
    Bakemono
        59
    Bakemono  
       2014-10-04 13:32:50 +08:00 via iPad
    redrain的demo已经很明确了.
    虽然不严谨但是redrain爷爷也没必要弄个假的来骗人.
    palxex
        60
    palxex  
       2014-10-04 13:51:50 +08:00
    @Bakemono redrain那个视频怎么涉及https的我表示没看懂。那就是个opera上的网页,没怎么用过这个浏览器也看不清url,但是上面没有任何表示ssl链接的icon还是能看清的。
    hjc4869
        61
    hjc4869  
       2014-10-04 15:08:43 +08:00
    @revival83 我从未购买过VPN,都是购买VPS后自己建。如果不求速度,有些美国VPS比VPN要便宜得多。
    ctexlive
        62
    ctexlive  
       2014-10-04 18:35:37 +08:00 via Android
    @mornlight 这里不谈剃刀的问题,而是谈具体的技术分析。危险性当然有。但现在谈的是https 证书验证这关。如果客户端没设计好有漏洞,那是人为错误,应该向客户端提交bug,而不是wifi本身的漏洞。如果客户端按照规范设计了,那么获取银行帐号密码有那么容易?当然可以回避https,但这需要中木马等方式。
    ctexlive
        63
    ctexlive  
       2014-10-04 18:39:35 +08:00 via Android
    @Bakemono 这个视频有问题,看不清如何验证ca证书的情况。太模糊了。我问了他三遍,都没有得到回答
    ctexlive
        64
    ctexlive  
       2014-10-04 18:40:37 +08:00 via Android
    @virusdefender 银行app有这种漏洞,只能说是设计的屎尿一样了
    Sharuru
        65
    Sharuru  
       2014-10-04 18:41:57 +08:00
    =。= 只有我一个人觉得免费的wifi速度超慢,在外都是跑流量的么。
    Bakemono
        66
    Bakemono  
       2014-10-04 19:11:18 +08:00 via iPad
    @ctexlive 有什么问题我帮你问一下?
    实际上redrain已经一天没在qq上出现了(GG
    ctexlive
        67
    ctexlive  
       2014-10-04 19:30:21 +08:00
    @Bakemono 他演示的是一个浏览器访问招行,输入卡号和登录密码,别截获。按照正常情况,浏览器访问招行必定会验证招行的证书是否合法。所以,他手机输入卡号之前应该能看到验证的结果,也就是一个安全锁的标志。但视频中看不到。
    virusdefender
        68
    virusdefender  
       2014-10-04 19:49:59 +08:00
    @palxex 没有加锁的话可能就是使用ssl strip
    virusdefender
        69
    virusdefender  
       2014-10-04 19:50:31 +08:00
    @ctexlive 这个世界远比你想象的危险 哈哈~
    ctexlive
        70
    ctexlive  
       2014-10-04 19:52:35 +08:00
    @virusdefender 安全本来就是不是一个绝对的概念。而是基于成本效益的综合妥协。只要在接受的风险之内享受便利和快捷即可。
    revival83
        71
    revival83  
       2014-10-04 22:52:19 +08:00
    @hjc4869 可惜我不懂技术,否则我也一定自己建一个
    hjc4869
        72
    hjc4869  
       2014-10-04 22:59:46 +08:00
    @revival83 不需要什么技术吧,按照教程一步步来就可。。我也是看教程搞得。。
    revival83
        73
    revival83  
       2014-10-04 23:20:15 +08:00
    @hjc4869 兄弟能赏脸给个Q么。我按教程搞遇到疑问咨询下你^^
    revival83
        74
    revival83  
       2014-10-05 00:29:11 +08:00
    @hjc4869 您用的哪家的VPS?
    gamexg
        75
    gamexg  
       2014-10-05 13:42:49 +08:00
    @hljjhb DNS 控制在自己手里面,所以连接哪个IP是可控制的。
    另外先不说ssl证书乱发的问题,很少有用户手工输入 https 的。所以浏览器一开始访问的是 http 版本的,然后在跳转到https版本。但是如果连到伪造的网银页面还会让你跳转到 https 吗?

    还有 uc 浏览器在 https 下默认并不显示网址,而是显示锁标志和网页标题。如果自己申请一个域名(不需要和icbc有关系)然后申请一个证书(也不需要和icbc有关系)。让 http 版本的 icbc.com.cn 跳转到自己的这个域名上,界面能达到和icbc的完全一样,甚至绿色的锁标记都一样。除非用户去点击地址栏然后看网址,不然根本看不出来跑到钓鱼站上面去了。

    网址问题也可以解决, uc 默认也显示网址的后半部分,至少在我的手机上面网址的前半部分 "https://mybank1." 都不显示,也就是说我如果弄一个 http://aaa.com/mybank1.icbc.com.cn/xxx 的网页,只要根据分辨率计算好了xxx的长度 即使点了地址栏uc显示的也只是icbc.com.cn/xxx,用户只能自己往前拉才能看到完整的地址。
    exceloo
        76
    exceloo  
       2014-10-05 22:15:06 +08:00
    没必要盯着ssl/https,xss就可以了。转账的时候以为输得自己的帐号,其实request的时候变成了别人的...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5638 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 02:40 · PVG 10:40 · LAX 18:40 · JFK 21:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.