首页   注册   登录
 abc612008 最近的时间轴更新
abc612008

abc612008

V2EX 第 241732 号会员,加入于 2017-07-20 08:42:47 +08:00
abc612008 最近回复了
以下均假设软件实现正常,操作系统未被侵入,没有装过来源不明的根证书(但不假设网络 /路由器是安全的):

1. http 网站在 MITM (中间人) 攻击 / DNS 劫持的情况下有可能在你不注意的时候获取或篡改你的消息内容(包括但不限于偷取你的密码,cookie,登录凭证以伪造你身份,或者修改网页内容来钓鱼)。

2. https 网站下可能可以获知你所访问的是什么网站( SNI ),但无法获取具体的网址或者内容。例如,攻击者可以知道你访问了 www.google.com 但不知道你具体搜索了什么,更无法获得你的账号。如果网站和浏览器使用的带 SNI 加密的新版 TLS 1.3 协议的话,连网站的域名都没法获得。

总体而言,**即使路由器被入侵,DNS 被劫持**,或者连接的是没有密码的刻意的**公共 Wi-Fi**,或者是来历不明的**代理服务器**,只要浏览器和操作系统没有被侵入,并且使用的是 **https 协议**,那么信息基本上是安全的。就算是运营商也没法获得你消息的内容。

有可能存在危险的情况:

1. 手动忽略了浏览器的证书不一致警告。
2. 安装了用来监听的软件 /浏览器。
3. 使用了还在用 http 协议的网站 /app。
4. 安装了来历不明的证书。
5. 打开网站是先打开 http 版本然后等待网站自动帮你跳转到 https 的。

关于降级攻击:不满足使用 https 协议这一条件,可以通过 HSTS (强制 https) 解决。
关于公共页面的 HTTP 的危险:攻击者可以通过篡改 HTTP 网页使得诱导到一个篡改过的 HTTP 登录页面(降级攻击)或者诱导到钓鱼网站等方式窃取用户信息。

以上内容均为我的个人理解。如有错误,烦请指正。
47 天前
回复了 lidfather 创建的主题 程序员 mbp 装什么 Linux 发行版比较好?
@lidfather @richangfan 能解释下为啥 wsl 是“假的” linux 吗,个人体验下来除了系统底层相关和图形相关开发以外用上去没有任何问题。另外(大概明年会出的) wsl2 应该也对底层相关的槽点做了不少改进。
75 天前
回复了 wanacry 创建的主题 iPhone Face ID 在打哈切的时候无法识别
@cmdOptionKana 对于**不懂原理的普通用户**来讲,识别打哈欠的脸部感觉不是什么过分的要求。这和带面具 /面膜不一样,打哈欠的时候的脸也是可以被人识别出来的。 你说一个母亲没有办法识别她孩子打哈欠的脸我觉得太夸张了。
76 天前
回复了 wanacry 创建的主题 iPhone Face ID 在打哈切的时候无法识别
@ShadyK 这个类比不大精确,打哈欠的脸应当还是同一张脸,只是由于技术限制导致没有办法精准识别而已(即不是 feature )。
@iNaru 开关意义不大吧,(作为站长的话)这种东西通常是给网站的用户看的,不是给自己看的,总不能让用户自己开开关吧。(作为用户的话)如果都知道 EV 是什么还自己去开开关的话多半也不会被骗。
100 天前
回复了 18510047382 创建的主题 JavaScript PowerJSON - 由 JSON 改进的数据交换格式。
这样很不安全吧。访问任意文件,对任意网站发请求?挖洞人应该非常喜欢这个的(
@lrigi 限速 5km/s 那得有 18000km/h 啊,良心车队(滑稽
不杠,知道你意思,就是吐槽下
你可以说服所有主流操作系统 /浏览器嵌入你的公钥
161 天前
回复了 xiulu 创建的主题 求职 各位大佬帮忙审核一下简历
我不是专业的,但是建议英文不要用宋体(或其他中文字体),很丑。简历的空间利用率很低,尽量利用满空间把简历压缩到一页。有很多重复且显然的字,如“地点”,“时间”等完全可以删掉并且缩到一行,时间也没有必要标出几个月。建议网上找个模板改一下。
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1873 人在线   最高记录 5168   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.3 · 14ms · UTC 09:05 · PVG 17:05 · LAX 01:05 · JFK 04:05
♥ Do have faith in what you're doing.