V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mytry
V2EX  ›  程序员

直到现在仍有不少人认为,访问没隐私没价值的网页,不是 HTTPS 问题不大。。。

  •  3
     
  •   mytry · 2018-09-26 11:32:18 +08:00 · 15462 次点击
    这是一个创建于 2249 天前的主题,其中的信息可能已经有所发展或是发生改变。

    直到现在,居然仍有不少人(甚至包括做 Web 开发以及安全的),以为只有涉及隐私的网页用 HTTPS 才有意义。随便浏览一个从搜索引擎里点出来的 HTTP 垃圾站对自己并没什么影响。。。

    殊不知,只要允许了三方 Cookie (各大浏览器默认允许),访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露。。。(原理很简单,大家可以想想为什么)

    而且国内大部分网站隐私 Cookie 都没加 secure,也极少有网站同时开启 HSTS+includeSubDomains,导致用户 cookie 大片大片的泄露。

    真正了解这个风险并禁用三方 Cookie 的寥寥无几,最悲催的是不少国内大网站都依赖这个,禁用后正常功能都会受影响。。。

    第 1 条附言  ·  2018-09-26 19:50:37 +08:00
    另外再提个思考题:为什么加了 HSTS 还要必须加 includeSubDomains 才能避免 Cookie 泄露?(针对非 Secure 的 Cookie )
    111 条回复    2024-05-02 04:33:16 +08:00
    1  2  
    zhaohao
        101
    zhaohao  
       2018-09-27 11:06:58 +08:00
    // Google 安全博客早些时候宣布,2018 年 7 月发布的 Chrome 68 将标记 HTTP 网站为不安全。搜索巨人还计划在搜索结果里降低 HTTP 网站的排名。

    // 资深软件开发者 Dave Winer 批评了 Google 的这一计划,他指出互联网上有很大一部分内容是存档,文件放在那里是没人维护的,没人会去做 Google 想要所有网站去做的事情。这些能正常访问就已经足够了,潜在的好处并不能证明启用 HTTPS 是合理的。

    // 如果 Google 的计划付诸实施并成功了,那么许多存档性的网站将会逐渐无人问津,这就像是数字时代的大规模焚书。大多数存档网站不收集用户数据或者根本没有用户互动,启用不启用 HTTPS 无关紧要。

    // 互联网是一个开放平台,不是一个企业平台,它的定义是其稳定性。Google 和我们一样都是互联网的客人,而客人不能去制定规则。
    houbaron
        102
    houbaron  
       2018-09-27 15:03:56 +08:00 via Android   ❤️ 1
    你以为你在上互联网?其实数据都是路由器编的。
    你以为你在过日子?其实这是楚门的世界,我们都是拿工资陪你聊天的。
    你以为你还活着?其实都是缸中之脑。
    seven777
        103
    seven777  
       2018-09-28 09:01:55 +08:00
    @houbaron 缸中之脑,是啥意思?腌猪头?啥味的?五香的?还是麻辣的?
    no1xsyzy
        104
    no1xsyzy  
       2018-10-26 15:28:33 +08:00
    @iwtbauh #26 你怎么知道你的操作系统不是 ISP 注入了隐藏根证书的?
    还记得 quine 是为什么提出的吗?
    你就算自己写 CPU 你都不知道流片的时候有没有插后门。
    iwtbauh
        105
    iwtbauh  
       2018-10-26 16:11:54 +08:00 via Android
    @no1xsyzy

    是这样的,我的操作系统根证书由 ca-certification 包提供,debian.org 提供此包时,使用 gpg 为其签名,我的计算机上包含公钥,可以通过 gpg 验证。gpg 公钥就是这个体系的 Trust Anchor

    quine 和这个有什么关系我还真不知道,请指教。

    硬件后门就没办法了,所以我们要推进自由硬件技术。期待未来有一天个人有便宜的技术把它们制造出来。
    no1xsyzy
        106
    no1xsyzy  
       2018-10-30 14:08:47 +08:00
    @iwtbauh
    但你没有找 Debian 项目组的人线下验证该 GPG 公钥。信任网没有建立。你也没法保证你下载的 Debian 镜像不是被调包的。

    quine 是可以做到任何进程读取 ELF/.exe 的时候读取不到恶意代码,但只要接触到就在文件内插入该恶意代码。所有的文件 IO 接口都被这样污染了以后就变成任何一个程序都具有该恶意代码,但没有任何程序能够发现该恶意代码,除非用物理方式手工分析。可能我们碰上的所有程序都有这个恶意代码,因此你根本就不知道这个恶意代码存在。
    说不定全球的电脑都已经被感染了。现在之所以 IO 如此地慢都是因为每次要通过这个恶意代码。你的硬盘空间莫名其妙地占满是因为里面都是这个恶意代码。

    自由硬件你也不能保证制造那个硬件的设备没有这个问题。

    “计算机没有中招”本来就是不可证伪的问题。
    iwtbauh
        107
    iwtbauh  
       2018-10-30 14:19:27 +08:00 via Android
    @no1xsyzy

    我回答的是“你怎么知道你的操作系统不是 ISP 注入了隐藏根证书的?”:因为我可以通过多种来源获取 Debian 的公钥(多家运营商、tor 网络),而不是来源单一运营商,因此可以基本上认为该公钥是没有被“运营商”修改的。

    因为现实非常复杂,单一运营商根本不可能完全把自己的行为隐藏起来。
    iwtbauh
        108
    iwtbauh  
       2018-10-30 14:24:30 +08:00 via Android
    @no1xsyzy

    你说对那个 quine 我还是不明白,有没有文章链接 /代码?
    no1xsyzy
        109
    no1xsyzy  
       2018-10-30 14:43:20 +08:00
    @iwtbauh 忽略 ISP,任何人都可以用“通用可执行污染代码”污染全世界的电脑。在此基础上这个代码就能够任意篡改下载的内容——在此基础上,ISP 如果有心篡改网络内容,也是可以的。
    不完备性已经证明了,“计算机中招了”本来就是不可证伪的问题。
    ----
    实际上,全球的 ISP 已经组成全球 ISP 光明会了呢(包括 Tor 出口节点所在的 ISP ),只是所有人都不知道罢了。我也只能装作在讨论微乎其微的可能性时才能把这个信息发出来,不然就直接被 ISP 删除了呢。其实依赖于网络的垄断,全球 ISP 光明会已经做出天网,只是所有人都不知道罢了。你知道的,几乎所有人都只能靠网络来和他人取得联系。在网络被光明会垄断的当下,即使有人发现这一事实也无法警告别人。
    no1xsyzy
        110
    no1xsyzy  
       2018-10-30 14:56:25 +08:00
    7VO54YYGvw3LOF9U
        111
    7VO54YYGvw3LOF9U  
       204 天前 via iPhone
    @houbaron 有趣
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3835 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 05:15 · PVG 13:15 · LAX 21:15 · JFK 00:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.