首页   注册   登录
 iwtbauh 最近的时间轴更新

iwtbauh

V2EX 第 257571 号会员,加入于 2017-10-02 17:25:21 +08:00
今日活跃度排名 1032
No such file or directory :-)
iwtbauh 最近回复了
@t6attack

对于 https 连接,我不需要信任 isp,因为 isp 没法修改在我的操作系统里的根证书

我只需要信任我的操作系统。我凭什么信任操作系统呢,因为我的操作系统使用 gpg 签名保护根证书来自操作系统开发者。
@xenme

sni 就是一个域名啊,中间人能拿到的就一个域名,和一点 metadata,传输的数据都是经过加密的啊,而且现在的基本都是支持前向保密的(甚至到 TLS1.3 强制支持前向保密),服务器私钥泄漏历史数据都没事。

除非有 TLS 的漏洞,密码算法实现的漏洞,否则你能从 TLS 里劫持什么数据出来。

TLS 漏洞一旦公开可以通过保持升级客户端和服务器操作系统,升级浏览器解决。

要是没有 TLS,岂不是随便一个人都能随便劫持,这根本不是一样的。
@est

问题来了,不依赖 TLS 的漏洞,中间人如何劫持你的 https 连接。

这个问题关键在于,https 标记暗示用户连接是比较安全的,用户登录 https 网站认为自己的数据不会以很低级的方法泄露,但是这个问题仅仅是因为网站开发者的疏忽导致数据轻易被降级泄漏,甚至可能用户毫不知情,这是最可怕的。
对了,这个选项在我的 Debian stable 的 chromium 上是默认开启的。

我一开始还纳闷为什么访问什么网站都提示 cookie 已拦截 XD
@est

中间人啊,本来应该只在安全连接中传输的 cookie 使用明文在网络上传输了。

再扩展一下,中间人在你的任何 http 流量中插入 alipay.com 的 http 资源引用,如果 alipay 没有设置 secure 或者 hsts,你的 alipay 就会可能会被盗刷
我理解的是:如果 a.com 的 cookie 没加 secure,然后用户登录 a.com ,再访问不是 https 的 b.comb.com 没有用 https 引用 a.com 的资源(浏览器就会访问 a.com ,并携带所有非 secure 的资源),导致 a.com 的 cookie 泄漏。

所以开发者不要忘了设置 cookie 时设置 secure 标记,或者启用 hsts。

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie

@est
@hpeng
@airyland
自建 MTA 服务器

sendmail 或者 postfix
15 小时 25 分钟前
回复了 Yuicon 创建的主题 Linux Linux 可以把硬盘当内存用吗
@LoliconInside #12

我说了,“内核默认会”
18 小时 53 分钟前
回复了 Yuicon 创建的主题 Linux Linux 可以把硬盘当内存用吗
没有 ls 说的那么严重,旧 pc 做的服务器 2g 内存有时候不够开了 4g swap,需要大内存时确实很慢,但是这种情况不多见啊,Linux 内核默认会尽可能不用 swap,到万不得已才会开始用 swap,所以平时不需要大内存的时候并没有副作用,而需要大内存时又不至于让任务失败。

当然最好还是加 RAM,需要大内存时体验真的不一样
21 小时 24 分钟前
回复了 DongZhe93 创建的主题 Node.js 求助: Express 框架如何预防 cookie 劫持攻击?
和什么框架无关

除非单独开发客户端,否则不上 https 无解。lz 的要求好像是”我不穿衣服怎么让别人看不到我的裸体“,就像皇帝的新衣。

就算你开发客户端,你是选择用经过无数人审计,经过大量实践证明稳定可靠的 TLS,还是要自己重新发明一个全部都是 bug 和安全漏洞的” TLS “?
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2810 人在线   最高记录 3762   ·  
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 9ms · UTC 04:43 · PVG 12:43 · LAX 21:43 · JFK 00:43
♥ Do have faith in what you're doing.
沪ICP备16043287号-1