既然說 HTTP 是明文傳輸,為什麼沒聽說哪個著名的網站因為採用 http 協議而暴露了用戶的密碼?

比如說一個很厲害的黑客,黑了很多計算機,並且監聽這些計算機發出的 http 請求,那豈不是這些計算機的用戶大部分網站的賬戶信息都會被這個黑客掌握?


使用XSS(Cross Site Script)技術,美女A在某相親網站上自己的簽名里嵌入一段script,當宅男B點擊A 的簽名時,運行這段script,附帶cookie訪問鏈接里的美女A私有伺服器,其實A只是一盜用美女照片的摳腳大漢,摳腳大漢就可以使用帶有cookie的鏈接登錄B的賬戶。

通過發送帶有附件的郵件,附件是木馬程序,用戶只要雙擊打開,一個邪惡的種子就埋下了,這個木馬程序可以收集用戶敏感信息,源源不斷發送出去,這個木馬還可以接受遠程控制,隨時可以發動DDoS攻擊。

http協議層面也有自己的加密實現,對於登錄界面完全可以實現加密,但http協議是無狀態的,為了判斷客戶端是否是登錄狀態,通常登錄之後會為用戶生成cookie,這個cookie就好比古代的令牌,客戶端出示cookie伺服器就知道應該呈現登錄界面,而cookie是明文傳輸,只要能捕獲到流量,就能獲得cookie,獲得cookie就可以登錄賬戶。


既然說 HTTP 是明文傳輸,為什麼沒聽說哪個著名的網站因為採用 http 協議而暴露了用戶的密碼?

因為你聽說過的事太少了。

比如說一個很厲害的黑客,黑了很多計算機,並且監聽這些計算機發出的 http 請求,那豈不是這些計算機的用戶大部分網站的賬戶信息都會被這個黑客掌握?

是。


這。一般http不是這麼釣密碼的。

一般的做法是搭個開放WiFi,隨便裝個tcpdump之類的工具就可以了。

然後坐等別人連上來。(先前有一陣子校內有些網沒有https的時候,我輕鬆就抓出了自己登錄校園賬號時候的明文密碼,當時就有拿起自己路由器去教學樓的衝動)

講道理如果都能黑到別人的電腦上了,那是真的很強了,可以放全局鍵盤鉤子。

高票的XSS有些問題吧,一般cookie都是http only。js訪問不到。而cookie是匹配域名的,私搭伺服器也做不到,還不如用上面的開放WiFi方案。防範XSS是前端的基本素質,而且用了正常點的前端框架的都不會有這個問題。

這些中間人盜用cookie、盜取明文密碼都很容易地可以用+1s解決。

另一種利用cookie搞事情的方式是釣魚網站然後誘導用戶搞個跨域請求。俗稱CSRF攻擊。防範也很簡單,用同源策略禁掉跨域請求,同時認證信息不存在cookie里,而用js附帶在請求內。

還有一種利用嵌套frame搞事情的方式,就是把別人的網頁iframe,這樣也可以誘導用戶操作並得到一些敏感信息。俗稱XFS攻擊。防範的方法也一般是設置一下x-frame-options,也可以前端檢測一下,有問題就不顯示網頁。

這是想到的一些常見攻擊吧。

想想http+1s已經普及率高達60%了,就有些小激動。


HTTP的明文傳輸帶來的問題是無法防止中間人截獲、盜取和篡改信息,從你的路由器、運營商到對方伺服器,中間每一步都是明文。這裡面可下手的地方太多了。

比如很多地方電信運營商就擅自給用戶的網頁插入浮動窗口廣告,甚至影響正常瀏覽,不知情的用戶還罵網站。其實這就是HTTP的明文特性導致的天然漏洞,對HTTPS網站則束手無策。因為後者只有用戶和伺服器能看到真實請求數據,對所有中間環節都加了密,自然也就無從篡改。

是不是好多人有微博賬號莫名關注或點贊某些垃圾殭屍粉、營銷號或者取關好友?在微博沒有全站HTTPS化之前這種現象普遍存在。有人說是官方惡意給大號漲粉(官方肯定不承認,底下的人會不會收錢辦事很難說),但各種證據表明絕大多數都是中間有人動了手腳,比如前面說的與運營商合作的營銷公司。他們可以通過截獲請求盜取並偽造你的身份信息來關注一票殭屍號或給某些營銷微博點贊。方法也簡單,把你本次成功訪問微博的cookie存下來,直接用這個cookie發送關注別人的請求就行。

這種情況根本無需竊取你密碼,也就無所謂密碼大量泄露了。

對黑客和黑產從業者來說,除非你是個有影響力的大V或高價值賬戶才值得完全盜走。否則對千千萬萬普通用戶而言,在無感知的情況下借用你的身份做一些事才是最有用的。

而那個「很厲害的黑客,黑了很多計算機」,其實根本用不到HTTP的明文特性就能竊取你的大量信息,因為人家黑的不是傳輸階段,而是從起始階段就下手了。無論你在中間怎麼加密,在自己電腦總要有明文吧。

另外,那些著名的「某某網站幾百幾千萬用戶數據泄露」其實只是冰山一角,絕大部分泄露都不會被外界得知。有的跟網站私下交易,有的竊取完數據堵上漏洞就不管了,有的說不定站方從頭到尾都沒察覺到這件事。更何況網上流傳的很多用戶賬號密碼包根本就是在黑產圈內流傳了幾年連剩餘價值都榨乾了才出於炫耀或引導輿論的目的被扔出來的……


如果有一個很厲害的黑客,黑了很多計算機,這些計算機用戶大部分網站的賬戶信息都會被這個黑客掌握,不管這些用戶採用的是加密的https還是VPN。


為什麼沒聽說

原來犯罪行為都應該在社交網站上公開的啊?


2015年央視3.15晚會_財經_中國網

主持人 陳偉鴻:黑客WIFI現在實時搜出了各位手機中的電子郵箱賬號,我們在這些郵箱裡面隨機選一個,看看這是哪一位現場觀眾的?請自己認領一下。

主持人 謝穎穎:這是你的郵箱號嗎?

觀眾:是我的郵箱。

主持人 謝穎穎:你剛才有沒有用手機接收郵件了嗎?

觀眾:沒有。

主持人 謝穎穎:你的郵箱密碼我們也能夠知道,要不要看一下,證實一下,為了保護他的隱私,我們打上星號,我們把第四位和倒數第三位用星號擋住了,我告訴你,今天回去以後一定把登陸密碼給改了。

主持人 陳偉鴻:確實在移動互聯網的今天,很多人為了求方便,都在手機上收發郵件,其實只要你的手機和郵箱是連接的,手機每隔幾分鐘就會自動登陸一下郵箱,檢查是否有新的郵件,這個過程就會被黑客捕獲到,他們就可以截取到你的郵箱號碼和郵箱密碼。


問題是,https也並不是100%安全。有種設備叫【上網行為管理】、【上網行為感知】,不少敏感單位,比如學校,會部署這玩意。


現代互聯網的結構決定了http請求的流量只經過客戶端、中間設備和伺服器,不經過其他無關的機器,正常情況下是很難嗅探的。但是風險的確存在,除了傳說中的直接攻擊骨幹網交換機,還有假wifi之類中間人手段。但還不是想偷就偷的程度。


你見過哪個小偷偷了東西大喊大叫的?


http最不安全的是被釣魚,其他的雖然危險但是沒有那麼多黑客去玩。

比如你被某人引導到假的淘寶網站,假的銀行網站怎麼辦


因為安全責任轉嫁到用戶身上了。如果是通過中間人方式攻擊泄露的個人用戶信息責任往往在於用戶(誰讓他們隨便連開放WiFi熱點的?)就比如網易免費郵會拿http傳輸登錄信息(雖然密碼會做對稱性加密但),只有那些不考慮隱私安全的用戶才會中槍。


看到這個問題忍不住發笑+1,我不用社工庫,復盤一遍過程。決定和大家分享一下。

【法律聲明:本回答僅代表本人,不代表本人供職公司。本人無意泄漏題主隱私信息,所有信息均為題主或題主相關方自行公開或根據法律法規公開於互聯網的信息,本人已標明來源,如需刪除請先行聯繫來源方。回答全文內容已經過題主同意】

題主姓名:楊*光,這是題主自己公開的,沒辦法,題主要建網站,當然要實名備案啦。你問我題主的網站在哪裡?看題主簽名,進入博客後,看到最底下的備案號了嗎?(題主備案號省份寫錯了,注意修改,正確為蜀ICP備16036143號)查一下網站備案信息,就可以知道了。當然,題主自己暴露名字不算。(鏈接我都給了,需要的話git的歷史也抹乾凈吧)

題主博客鏈接,內容由題主自己公開,網站原標註備案號為浙ICP備 15005796號-2

蜀ICP備16036143號 網站備案信息

題主自己公開的姓名(題主儘快修改啊)

題主學號煩請題主自己點這個鏈接:http://www.ccse.uestc.edu.cn/view?type=59id=6202這是題主的大學。

郵箱、手機號、域名註冊商通過某總所周知的****查詢方法查詢就查到了,也是題主主動公開的(該查詢方法已和題主溝通不予公開)。

既然手機號有了,那麼剩下的註冊了什麼網遊之類的問題也不難了(該查詢方法已和題主溝通不予公開)

身份證號碼比較隱私,確實可以拿到,獲得方法,根據相關法律法規不得傳播。

密碼需要社工庫,或者其他方法,根據相關法律法規不得傳播。

後面還有很多內容,根據相關法律法規不得傳播。

只能寫這麼多,不好意思

==================

HTTP 是明文傳輸沒錯,但是本回答內容和HTTP完全無關

==================

不過說個題外話,感覺題主好優秀,敏而好學且天賦也高,還是個學霸。

利益無關:財務一枚


明文就是信息能被看到,但是即使你看到或者你覺得你看懂了,其實不一定是真實的。比如你看到「這是我的密碼123456」,不要興奮,其實真實的信息是「好想吃茶葉蛋」。明文防不住我們傳輸黑話,傳輸一堆看不懂看起來亂碼的信息。因為有種東西叫加密。當然不是不能破解,只是難度比你女朋友發個「呵呵」還要難懂1億倍。


傳輸的是明文,但是明文也可以經過加密。

比如某網站在網頁里寫個公鑰,然後交互信息都通過js用公鑰加密,這樣雖然你看到明文了,但是是一堆加密後的亂碼,這樣你還是沒法破解交互信息。


真的泄露的時候一般也沒人聲張。就好比一個小偷,你偷了人家的東西,你還滿世界宣揚,那你不是自己作死?

實際上根據HTTP協議的模型來看,中間人攻擊就是最大的問題。你什麼都是明文的,我真要動什麼手腳不要太簡單啊!國內前些年wifi開始普及的時候,我是不敢隨便連wifi的。不是我不知道這個東西,在人家台灣滿大街開始建wifi熱點的時候我就已經了解了。我當時第一反應就是,針對這個情況,利用開放的wifi熱點就能幹很多壞事。後來果不出我所料,不久以後,頻繁爆出wifi釣魚的新聞。

而且你說的情況不對,如果我已經控制了你的計算機,我其實沒什麼興趣監聽你的HTTP報文。因為你對我來說已經是煮熟的鴨子了。我上高中的時候喜歡干一件事兒,在獲取別人電腦的控制權以後,用一個看起來界面差不多的應用程序替換掉他原本的一些應用。當時腦子裡沒想那麼多,只是想替換掉人家的殺毒軟體,每天點開看到病毒庫是最新的,這樣就不容易失去控制。

另外,看到有一個答案以後不太同意,其實就目前來說,釣魚的成本比走技術手段要低很多。其實能走社工的就不要走技術,費事兒。

最後,其實只要你相信周教主的話,你相對來說還是很安全的。


通常帶有用戶登錄會話的站點都是使用ssl加密技術進行傳輸保護的,也就是https,而有一些沒有會話信息或者是單純的靜態站點,基本不需要做https,因為沒有受許可權保護的資源。

https主要解決的是中間人攻擊問題,比如arp欺騙、偽造wlan接入點、dhcp污染,都會直接導致http協議被中間人攻擊,http協議、甚至所有未加密的ip協議都會被直接暴露在攻擊者面前,其中包括登錄的用戶名密碼,cookie,token這些許可權要素,所以,使用http協議傳輸重要的私人信息是極其危險的!


有,很多。

另一方面,http不加密不代表寫網站的不會去加密你的密碼再發送。


有時候做實驗用wireshark能看到http的數據包 裡面就有自己的登錄密碼 然而https卻沒有


好巧,看題主也是我電學子,那正好想起一件幾年前的事情,不知道題主有沒有用過我電 mianliao 的 WiFi 啊?

成都泰聚泰/面聊Wi-Fi網頁認證明文信息傳輸以及網頁雞肋漏洞打包 | wooyun-2015-0105115| WooYun.org

看看你的學號密碼在不在裡面呀 (滑稽


推薦閱讀:

用 http 數據加密和 https 有什麼區別?
http協議請求響應頭中參數的疑問??
HTTP 在什麼情況下會請求超時?
怎樣把 ssh、http 和 https 放到同一埠?
如何看待谷歌 Google 打算用 QUIC 協議替代 TCP/UDP?

TAG:網路安全 | HTTP | Web安全測試 |