黑客說HTTPS不再安全，一種新攻擊可成功繞過，是噱頭還是實錘？

12-28

都說HTTPS是HTTP的安全版，近兩年各大網站紛紛採用更安全的HTTPS協議。
可是最近，研究人員卻發現了一種新型的攻擊方式。
該方式能夠繞過HTTPS加密連接，進而發現用戶請求的網址，但加密流量本身不會受到影響。更可怕的是，該攻擊對所有瀏覽器和操作系統均有效。

新聞鏈接：HTTPS加密連接不再安全新攻擊可輕鬆繞過
這個攻擊方式即將在20號在拉斯維加斯的Black Hat（黑帽）安全大會上公布
求大神分析該攻擊的可行性，是噱頭還是實錘？
HTTPS真的不再安全了嗎？

WPAD的話，是有可能的。
但是你是否用，以及用哪個WPAD，只有你自己以及你的區域網管理者（通過組策略、本機特定軟體、DHCP）來設置，瀏覽器的網頁本身沒辦法修改WPAD設置。
所以只要你自己電腦上沒有軟體搗亂，你的區域網內沒有人部署這個，就不會有問題。

──

到家了，補充一個玩剩下的東西，來告訴你們亂蹭別人的網路是多麼的危險。
知識準備：
1 DHCP有能力推送給你的除了IP地址和路由外，還有DNS地址和WPAD。
2 DNS功能是：你給他主機名字（比如http://www.google.com），它給你這個主機的一個IP。
3 WPAD的功能是：執行一段預製的代碼（JS，功能受限），並返回一個代理服務器的地址，之後瀏覽器會使用這個代理服務器來訪問原始請求。
4 部分網站會在URL上包含了重要信息，而我們知道這個格式，但是需要截獲這個URL包含的參數。

先準備一個支持HTTP CONNECT的代理，是否是你自己的沒關係，只要你確定它能用就行。比方說是1.2.3.4:8080。

WPAD裡面的偽代碼：
先解析這個URL，看看是否是攻擊對象，如果不是，直接返回PROXY 1.2.3.4:8080。

如果是：抽取出需要的信息（比如ABCDEFG），拼裝成一個字元串ABCDEFG.fuck.hacker，返回PROXY ABCDEFG.fuck.hacker:8080。
這時候瀏覽器就得到命令，要去用這個ABCDEFG.fuck.hacker做代理服務器。然而它需要先解析出它的IP，這時候我們的DNS就上工了，把這個特定格式的主機，返回1.2.3.4，並記錄下這個主機的名字。機密就在用戶不知道的情況下被DNS記錄到了。

只是能監聽到請求地址而已。

請求地址就是網址。多數情況下網址都不帶有完整的授權信息，個別情況有（如密碼重置郵件里的鏈接）。

沒有碰到HTTPS的根基，談不上是多大危害。

收集用戶訪問地址的程序多了去了，如瀏覽器本身（Chrome、Firefox等），如安全軟體（電腦管家、360等）。

運營商劫持也是監聽訪問地址的，如百度首頁、導航網站首頁、電商網站首頁，大多數用戶打開這些網站首頁都會自動給你加個小尾巴，那個就是被跳轉到了人家的推廣地址。

總的來說，這個危害範圍小，沒有動到HTTPS核心，不過也是漏洞，相信一公開馬上就有補丁跟上。

外行表示只知道中間人攻擊。
平時會掛上fiddler來解析手機的https鏈接做調試。。。

HTTPS 當然不是絕對安全的。
看這篇專欄文章，HTTPS協議降級攻擊原理 https://zhuanlan.zhihu.com/p/22917510 。

需要說明的是 HTTPS 是相對於 HTTP 而言的安全協議。

「HTTPS真的不再安全了嗎？」
HTTPS不是一個完美無缺的系統，只不過我們發現它都漏更晚而已（相比於HTTP）

我們都知道，互聯網本身就沒有真正的安全系統，只是危險程度不同而已。

首先是推薦查看【黑客說HTTPS不再安全，一種新攻擊可成功繞過，是噱頭還是實錘？】崔巍：WPAD的話，是有可能的。但是你是否用，以及用哪個WPAD，只有你自己以及… http://www.zhihu.com/question/49667663/answer/117163450 （分享自知乎網）
(正常途徑是怎麼推薦別人的回答的(ˉ―ˉ )

然後看圖：

剛剛截圖的，題主是7月新聞的截圖，這是8月的新聞…(人家都說了8月會演示你就搜索一下嘛…另外圖中廣告就是不開https的後果解決辦法圖中都說了，都很簡單。而且我查看了一下自己的電腦(正版win10，快速設置)，那個選項默認好像是不開的？也就是大部分的(至少是大部分win10)是不受影響的？而且換個瀏覽器可以解決的事情…

只是有伺服器地址泄露風險，標題略誇張。符合標準的瀏覽器只會使用CONNECT方法連接HTTPS代理伺服器。這種情況下解密TLS載荷數據仍然需要中間人攻擊。

我只知道一種中間人劫持
基於偽造證書的
比如我現在有主機ABC
正常情況 AC直接通信
這時我使用B坐中間人
讓C通過B與A通信
C先向B發出TCP鏈接然後發起SSL請求
然後B與A進行TCP鏈接發送SSL請求
這時A返回一個數字證書
B通過偽造製造一個極其相似的證書發給C
C瀏覽器進行驗證，發現各種一致，但是並非由可信機構頒發
大部分我相信都會點點擊繼續的。
這時B就可以讀取並解密SSL數據了。