V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tool2d
V2EX  ›  SSL

以前感觉 HTTPS 很安全,现在有一点点改变看法了。

  •  
  •   tool2d · 2023-03-09 11:50:25 +08:00 · 15191 次点击
    这是一个创建于 624 天前的主题,其中的信息可能已经有所发展或是发生改变。
    HTTPS 安全是因为有 SSL 加密,网管直接抓包是看不到具体内容的。

    但是,我发现 chrome 会把很安全的 SSL 密钥导出到明文,仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE),就能轻易做到!

    这意味着,公司网管只要在我机器上简简单单配置一个环境变量,我电脑上 chrome 浏览的所有网站,用户密码,他都能直接看到。并且 chrome 浏览器毫无风险提示信息,让人非常没有安全感。
    109 条回复    2023-03-10 14:07:24 +08:00
    1  2  
    msg7086
        101
    msg7086  
       2023-03-10 08:03:53 +08:00
    导出了秘钥你别给网管不就解密不了你的信息了。

    啊?网管能随意读写你硬盘上的文件?那你说个屁咧。
    shijingshijing
        102
    shijingshijing  
       2023-03-10 09:17:50 +08:00
    https 目前在国内最大的意义是防止电信劫持,你质疑的场景都错了,公司电脑 IT 部门随便控制的,什么让你造成了公司电脑应该我来完全控制的假象?
    gollwang
        103
    gollwang  
       2023-03-10 09:19:55 +08:00
    打个比方,https 就像是一把锁,安全在于这把锁能够锁住重要信息,你没办法在不通过钥匙的情况下打开门,而你现在的情况是钥匙给了别人,现在回过头了怪锁不安全,为什么钥匙可以打开。。。
    luoshuhui
        104
    luoshuhui  
       2023-03-10 09:31:59 +08:00
    @tool2d 你就说用来真正加密报文的对称密钥呗。。。。
    yunweier
        105
    yunweier  
       2023-03-10 09:52:45 +08:00
    https 是解决传输层面的窃听,能入侵你电脑了,别说环境变量,Chrome 的密码、浏览记录统统都能明文拿到
    interim
        106
    interim  
       2023-03-10 09:57:21 +08:00
    看到这个头像就知道又有暴论了...
    b1u2g3
        107
    b1u2g3  
       2023-03-10 10:05:12 +08:00
    谢谢#100 楼的提示
    原来 OP 是当初的那位,大家可以散了。。。
    zpf124
        108
    zpf124  
       2023-03-10 10:58:31 +08:00
    https 一直是安全的,不安全的你的电脑,我之前在另一个帖子就说过类似的问题,https://v2ex.com/t/830030#reply47

    https://imgur.com/rBAqkQC
    zagfai
        109
    zagfai  
       2023-03-10 14:07:24 +08:00
    https 从来都不安全,不然银行 app 都不会自己做固定公私钥,国家出自己的根证书了
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3867 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:15 · PVG 18:15 · LAX 02:15 · JFK 05:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.