關於最近https安全性的爭論

最近在微博上一個名爲奧卡姆剃刀的博主和信息安全界衆多人爭吵了兩天，固然包括我。

原由是央視節目說wifi的不安全性，銀行密碼也可被竊取，可能博主有對國內媒體的天生不信任感，因此他站出來了，說銀行密碼是密文傳輸的，無法竊取的，是不負責任的。

他沒想到，隨後一羣安全研究員，包括tombkeeper、yuange等大牛不但不跟他一塊兒指責媒體誇大宣傳，還指出各類利用無線wifi竊取密碼的手段，固然這種人是不可能被說服的。

更詳細和精彩的過程仍是本身去翻他的微博吧，惋惜是昨天晚上他本身刪除了幾條微博。

而後話說回來使用https究竟是不是安全的？

1. https基於可信證書和證書鏈，但如今問題是你能保證全部的證書頒發都是經過合法的證書鏈？谷歌和微軟已經不是第一次發現一些流氓證書頒發機構發不合法證書了而緊急吊銷證書鏈頒發機構了，並且你能保證全部證書頒發機構密鑰都沒泄露過？並且在天朝，大家懂得。各類濫發的數字證書和第三方被利用的數字證書。

   上面說的證書還至少是真的，可是有時候若是黑客真的去劫持你的流量的話，可能就會使用本身的證書，這樣的話，你的瀏覽器就會提示這是不可信的，可是多少人又選擇了繼續呢，尤爲是在12306出現之後。最近據說了大規模的針對微軟帳戶的攻擊，頒發者是CN = hotmai.com O = hotmail.com C = cn
   

2. 那麼有什麼技術能讓你在沒有察覺的狀況下，竊取https傳輸的信息麼？
   直接去攻擊https協議，找到漏洞？貌似有點不大可能（雖然出了heart bleed和goto fail漏洞），可是咱們能不能繞過https，讓你去使用http呢？這就是MITM中間人攻擊。
   

   用戶HTTP=>hacker的代理=>HTTPS網站

   當服務器要求重定向到HTTPS網站，那麼這個應答就不返回給用戶了，而是模擬用戶去訪問HTTPS資源，而後把數據放回給用戶，這樣，在用戶看來，他訪問的就是個HTTPS的站點，但數據返回都是明文傳輸的，以此來達到截獲明文信息的目的。簡單的說就是讓你的https變成了http。這時候給你植入一個js或者替換一下密碼框，so easy。

   昨晚親測，十分有效，固然分辨的辦法就是之前使用https的網站變成了http，你就應該提升警戒。360安全研究員redrain給出的demo視頻可能就是使用的這個技術。技術細節參考http://www.freebuf.com/articles/web/5929.html

3. 而後大量外包的銀行的app就是安全的麼？上面提到瀏覽器在訪問https網站的時候會去判斷鑑定對方使用的證書，可是app訪問https呢，這個鑑定是誰來作的呢，不少app的開發商繞過了安卓的安全機制，本身實現了一套，結果漏洞百出。這個能夠看騰訊安全應急相應中心的文章http://security.tencent.com/index.php/blog/msg/41

   覆蓋默認的證書檢查機制後，檢查證書是否合法的責任，就落到了咱們本身的代碼上。但絕大多數app在選擇覆蓋了默認安全機制後，卻沒有對證書進行應有的安全性檢查，直接接受了全部異常的https證書，不提醒用戶存在安全風險，也不終止此次危險的鏈接。

   咱們選取了13款使用https通信的Android app進行分析，這些app所有來自業內大公司。分析結果顯示所有的13款app都存在上文描述的敏感信息泄漏漏洞。而泄漏的信息中，密碼明文，聊天內容，信用卡號，CVV號隨處可見。咱們甚至還發現某些app的自動升級過程當中使用的https通信存在一樣的問題，劫持流量後替換升級包的url後，該app會下載惡意的升級包並自動升級，直接形成了遠程代碼執行。

   在一篇銀行app的安全審計報告中也明確的提出了存在這個安全漏洞。在http://pan.baidu.com/s/1dDd6Bap這個ppt的12頁開始。做者是綠盟科技安全技術部總監。

4. 還有你的手機真的是安全的麼？安卓的webview掛馬漏洞，ios的safair遠程代碼執行，各類root和越獄，混亂的app市場和山寨軟件，通常人怎麼知道手機上安裝的是真的仍是假的銀行客戶端。即便你手機安全了，電腦呢，電腦上的網銀大盜已經夠多了吧。

最後想說的是和這種人去爭論真的是浪費時間，