Board logo

标题: 问2个 基本 网络安全常识 [打印本页]
作者: 蛋疼哥    时间: 2021-4-5 13:59     标题: 问2个 基本 网络安全常识

posted by wap, platform: Chrome
使用机场,或者公共区域的wifi

访问:https 的网站 是不是:
对方只能知道你访问了什么网址
但是,不知道你传输了什么数据?

相反的, 非http 的 基本是所有数据都可能被捕获监听?


-----

第二个问题: 很久之前就知道  公司局域网是可以监听员工上QQ的
当然没有考证过,那么和第一个问题 https 的安全性讨论
到底哪个是真的?    QQ还不如个https 安全?  还是监听QQ是骗人的。。
作者: Davidsesd    时间: 2021-4-5 14:41

posted by wap, platform: iPhone
企业里面上网行为管理器大厂深信服了解一下
作者: MKIII    时间: 2021-4-5 15:52

第二个问题在于,客户端安装了底层监控驱动,在加密之前已经捕获了信息,所以HTTPS也没用。
作者: psklf    时间: 2021-4-5 15:53

posted by wap, platform: Android
引用:
原帖由 @蛋疼哥  于 2021-4-5 13:59 发表
使用机场,或者公共区域的wifi

访问:https 的网站 是不是:
对方只能知道你访问了什么网址
但是,不知道你传输了什么数据?

相反的, 非http 的 基本是所有数据都可能被捕获监听?




第二个问题: 很久之前就知道  公司局域网是可以监听员工上QQ的
当然没有考证过,那么和第一个问题 https 的安全性讨论
到底哪个是真的?    QQ还不如个https 安全?  还是监听QQ是骗人的。。
HTTPS加密 讲道理无法解密。
QQ消息明文传输 公司当然可以看到。
作者: Alloyo    时间: 2021-4-5 16:07

posted by wap, platform: iPhone
Qq走的不是http https协议,腾讯的协议,呵呵

以前qq还走的有udp协议,上不了网是tcp协议不行,但qq还是可以用,现在不知道改了没有,udp协议是没有加密的,约等于明文

更早前聊天记录还是存放txt在本地呢……
作者: beterhans    时间: 2021-4-5 19:05

posted by wap, platform: Firefox
引用:
原帖由 @蛋疼哥  于 2021-4-5 13:59 发表
使用机场,或者公共区域的wifi

访问:https 的网站 是不是:
对方只能知道你访问了什么网址
但是,不知道你传输了什么数据?

相反的, 非http 的 基本是所有数据都可能被捕获监听?




第二个问题: 很久之前就知道  公司局域网是可以监听员工上QQ的
当然没有考证过,那么和第一个问题 https 的安全性讨论
到底哪个是真的?    QQ还不如个https 安全?  还是监听QQ是骗人的。。
https 是 你和网站 !直接链接! 之间 有加密
别人确实无法看到 传输的内容

其他协议其实也可以加密

------- 重点!   !!!!!!! ----
https 必须在你和网站是 直连的时候才是安全的!!!!!! 不能有中间商!
有中间商的情景就是 比如你在公司, 公司 不允许你 只连 internet。
公司会给你一个上网脚本或者 代理
这个代理就是中间商! 你所有的数据包都是 打给他的 然后他再发给网站
也就是 网站其实是和中间商 做生意, 包都被中间商拆开了 再发给你, 自然 中间商啥都知道!

这种叫做 中间人攻击! man in the middle attack

本帖最后由 beterhans 于 2021-4-5 19:06 通过手机版编辑
作者: EraserKing    时间: 2021-4-5 19:16

这都啥玩意……

HTTP本身就毫无安全性可谈,除非你自己把HTTP的Payload再做加密,但是协议相关的数据你是没有办法再加密了

HTTPS(假如协议版本够新+选择的加密算法够安全),本身是可靠的,但是HTTPS保证,也仅保证在传输过程中的可靠
如果你的设备本身是不可靠的,那可以从薄弱的地方下手,比如说你的设备上面的根证书是有问题的,或者你的设备会被截屏之类的
MITM攻击本身在绝大多数情况下会因为证书的原因暴露,除非设备有问题,比如信任了这个证书。比较罕见的情况是CA错误颁发的证书。

HTTPS会因为要向客户端提供证书的原因,暴露要访问的域名,但是具体的URL是不会暴露的(这个要在TLS握手完成之后,再进行HTTP层面的传输时才出现)
然后就有了ESNI这个东西,把域名(证书)也保护起来,然后ESNI就墙了,233333
作者: matao    时间: 2021-4-5 23:22

引用:
原帖由 Alloyo 于 2021-4-5 16:07 发表
posted by wap, platform: iPhone
Qq走的不是http https协议,腾讯的协议,呵呵

以前qq还走的有udp协议,上不了网是tcp协议不行,但qq还是可以用,现在不知道改了没有,udp协议是没有加密的,约等于明文

更早前 ...
哪个维度的udp协议约等于明文啊, udp是从底层实现通讯, 你当然可以在上面做加密, 包括http, https都是在tcp上面实现的
作者: matao    时间: 2021-4-5 23:23

泥潭一真讨论技术, 就是些懂几个技术名词的在那瞎扯淡, 什么upd协议没有加密, 约等于明文, 什么qq消息明文传输都来了
作者: iceliker    时间: 2021-4-6 08:31

posted by wap, platform: iPhone
引用:
原帖由 @matao  于 2021-4-5 23:23 发表
泥潭一真讨论技术, 就是些懂几个技术名词的在那瞎扯淡, 什么upd协议没有加密, 约等于明文, 什么qq消息明文传输都来了
udp不是upd啊

很多人其实不清楚,协议根本不是单选题,是多选题,一个协议是不是加密根本没所谓,套一个加密协议在外面就好,觉得不保险多套几个也没问题,貌似只要不嫌慢mtu范围内随便你套,甚至可以分包
作者: MrNobody    时间: 2021-4-6 09:51

https就是传输过程有加密。
非对称加密,网站放出公钥,你传给他的信息都是用他的公钥加密,然后他自己的私钥才能解密。
加密本身你可以认为是安全的。
作者: Tobar    时间: 2021-4-6 10:43

引用:
原帖由 beterhans 于 发表于 2021-4-5 19:05 发表
https 是 你和网站 !直接链接! 之间 有加密
别人确实无法看到 传输的内容

其他协议其实 ...
不是这么回事,中间人有个必要条件就是伪造证书,(a被骗安装了中间人证书>中间人用此证书伪造站点>a访问中间人伪造站点>中间人获得请求内容后解密后再去访问原始站点)

没有第一步一样无法解密,https原理上来讲,没有证书就是无法皮角(证书认证域名不伪造,ssl认证内容不伪造)

这也是为什么,对全球顶级证书认证机构来说,名誉最重要
作者: 沉积岩    时间: 2021-4-6 10:47

还是监听QQ是骗人的?

古老版本的确监听过,,装个盗版的网路岗,挂个直通模式,MSN,飞讯,QQ都能获得聊天内容,
但是QQ的版本更新多次,2010后的版本就不能监听了。

而就算现在的深信服,你问问,QQ监听的功能它是怎么实现的?是要配合在电脑那边安装客户端实现的。都内置监控程序了,你在电脑所做的行为都藏不住
作者: Crazylife    时间: 2021-4-6 11:49

posted by wap, platform: Chrome
认真回答,能不能监听看你的设备。

当然不是说是不是菊花的设备。而是说你的终端。你的终端如果是没有越狱的iOS,没有root的安卓,那么中间人攻击基本不可行(代价极大,需要大型CA冒着被业界除名的风险发冒名顶替证书,有过先例),可以认为https是安全的,至少对个人来说是的(因为不值得花这么大代价搞一个普通人)。

如果是Windows或者一般Linux Mac,尤其是公司统一配发的电脑上加入域的Windows,可以轻松让Windows信任公司内部的CA发的任何证书,而且本身又在公司内网中,公司网络设备可以很轻松的通过中间人攻击解密你的https,至少对浏览器来说是100%成立的,整个方案也就是十几到几十万人民币。至于具体应用,比如QQ的通讯能不能解密,这其实看应用的开发者。应用如果以用户隐私为首位,那完全可以在应用里用SSL pinning等手段拒绝公司内部CA的证书,如果应用考虑到公司的监控需求故意留个薄弱点,那么公司就可以解密。
作者: Davidsesd    时间: 2021-4-6 12:06

posted by wap, platform: iPhone
引用:
原帖由 @Crazylife  于 2021-4-6 11:49 发表
认真回答,能不能监听看你的设备。

当然不是说是不是菊花的设备。而是说你的终端。你的终端如果是没有越狱的iOS,没有root的安卓,那么中间人攻击基本不可行(代价极大,需要大型CA冒着被业界除名的风险发冒名顶替证书,有过先例),可以认为https是安全的,至少对个人来说是的(因为不值得花这么大代价搞一个普通人)。

如果是Windows或者一般Linux Mac,尤其是公司统一配发的电脑上加入域的Windows,可以轻松让Windows信任公司内部的CA发的任何证书,而且本身又在公司内网中,公司网络设备可以很轻松的通过中间人攻击解密你的https,至少对浏览器来说是100%成立的,整个方案也就是十几到几十万人民币。至于具体应用,比如QQ的通讯能不能解密,这其实看应用的开发者。应用如果以用户隐私为首位,那完全可以在应用里用SSL pinning等手段拒绝公司内部CA的证书,如果应用考虑到公司的监控需求故意留个薄弱点,那么公司就可以解密。
你说的证书机构先例不会就是CNNIC?
作者: ffcactus    时间: 2021-4-6 12:33

posted by wap, platform: iPhone
HTTPS实现,你访问的是你想访问的,你接收的是对方想发给你的,对方接收的是你想发给对方的。
作者: beterhans    时间: 2021-4-6 15:57

posted by wap, platform: Firefox
引用:
原帖由 @Tobar  于 2021-4-6 10:43 发表
不是这么回事,中间人有个必要条件就是伪造证书,(a被骗安装了中间人证书>中间人用此证书伪造站点>a访问中间人伪造站点>中间人获得请求内容后解密后再去访问原始站点)

没有第一步一样无法解密,https原理上来讲,没有证书就是无法皮角(证书认证域名不伪造,ssl认证内容不伪造)

这也是为什么,对全球顶级证书认证机构来说,名誉最重要
公司就是中间人啊

每台公司发的笔记本 默认安装了中间人CA证书 (公司的证书)
自然公司就能知道你的所有 流量啦

你想不装都不行 因为公司内网需要这些证书

本帖最后由 beterhans 于 2021-4-6 15:57 通过手机版编辑
作者: 蛋疼哥    时间: 2021-4-11 10:16

posted by wap, platform: Chrome
引用:
原帖由 @Crazylife  于 2021-4-6 11:49 发表
认真回答,能不能监听看你的设备。

当然不是说是不是菊花的设备。而是说你的终端。你的终端如果是没有越狱的iOS,没有root的安卓,那么中间人攻击基本不可行(代价极大,需要大型CA冒着被业界除名的风险发冒名顶替证书,有过先例),可以认为https是安全的,至少对个人来说是的(因为不值得花这么大代价搞一个普通人)。

如果是Windows或者一般Linux Mac,尤其是公司统一配发的电脑上加入域的Windows,可以轻松让Windows信任公司内部的CA发的任何证书,而且本身又在公司内网中,公司网络设备可以很轻松的通过中间人攻击解密你的https,至少对浏览器来说是100%成立的,整个方案也就是十几到几十万人民币。至于具体应用,比如QQ的通讯能不能解密,这其实看应用的开发者。应用如果以用户隐私为首位,那完全可以在应用里用SSL pinning等手段拒绝公司内部CA的证书,如果应用考虑到公司的监控需求故意留个薄弱点,那么公司就可以解密。
能否理解:

设备安全的情况下

在咖啡店公共wifi,或者使用 机场线路,
最多暴露 非 https 加密 的 数据?   https 相对安全。

如果设备不安全 比如公司配电脑 那啥也不说了。
作者: Crazylife    时间: 2021-4-11 11:06

posted by wap, platform: Android
引用:
原帖由 @蛋疼哥  于 2021-4-11 10:16 发表
能否理解:

设备安全的情况下

在咖啡店公共wifi,或者使用 机场线路,
最多暴露 非 https 加密 的 数据?   https 相对安全。

如果设备不安全 比如公司配电脑 那啥也不说了。
对,是这个意思。



欢迎光临 TGFC Lifestyle (http://club.tgfcer.com/) Powered by Discuz! 6.0.0